为了向后兼容性,在 Windows 2000 中,信任关系通过使用 Kerberos V5 协议及 NTLM 身份验证(描述如下)支持跨域的身份验证 。这一点很重要,因为许多组织的基于 Windows NT 的企业域模型非常复杂,具有多个主域和许多资源域,而这些组织发现管理资源域和其主帐户域间的信任关系既花费成本又非常复杂 。因为基于 Windows 2000 的域目录树支持传递信任目录树,它简化了较大型组织的网络域集成及管理 。不过请注意,对于 ACL 不同意授予某些权限的人,传递信任不会自动将这些权限指派给他(或她) 。传递信任让管理员更容易定义和配置访问权限 。
使用组策略管理安全性
组策略设置是配置设置,管理者可用此设置来控制 Actove Directory 中对象的各种行为 。“组策略”是 Active Directory 一项显著的功能,它让您以相同的方式将所有类型的策略应用到众多计算机上 。例如,可以使用“组策略”来
配置安全性选项,管理应用程序,管理桌面外观,指派脚本,以及将文件夹从本地计算机重新定向到网络位置 。系统将“组策略”设置在计算机激活时应用于计算机,在用户登录时应用于用户 。
可以将“组策略”配置设置与三个 Active Directory 容器相关联:组织单元 (OU)、域或站点 。与给定的容器相关的“组策略”设置不是影响该容器中所有的用户或计算机,就是影响该容器中特定的对象集合 。
可以使用“组策略”来定义广泛的安全性策略 。域级策略应用于域中的所有用户并包含如帐户策略等的信息 - 例如,最短密码长度或用户多久该更改密码一次 。可以指定在较低级别是否可改写这些设置 。
在使用“组策略”功能来应用广泛的策略后,可以进一步细化个别 PC 上的安全性设置 。本地计算机安全性设置控制您想要授予特定用户或计算机的权限和特权 。例如可以指定谁可在服务器上进行备份和还原、或希望审核桌上型计算机的数据访问量 。
特定计算机的设置是从域到 OU 所有策略设置的组合 。例如,在上面的图 1 中,Europe.Microsoft.com 域中用户的设置
是 Microsoft.com 域、Europe.Microsoft.com 域及域中所有 OU 上设置的所有策略的集合 。
身份验证和访问控制
身份验证是系统安全性的基本方面 。身份验证是用来确认任何试图登录到域或访问网络资源的用户的身份 。Windows 2000 身份验证过程是使单一登录可访问所有网络资源的过程的一部分 。使用单一登录,用户可以用单一密码或智能卡登录到域中一次,并可对域中任何计算机进行身份验证 。
在基于 Windows 2000 的计算环境中,成功的用户身份验证是由两个单独的过程组成的: 互动式登录,这会向域帐户或本地计算机确认用户的身份;以及网络身份验证,这会向用户试图访问的任何网络服务确认用户的身份 。
一旦用户帐户经过身份验证并可访问对象时,要么是分配至该用户的权力要么就是附加于对象的许可来决定所授予的访问权限的类型 。至于域中的对象,该对象类型的对象管理器会实施访问控制 。例如,注册表会对注册表项实施访问控制 。
本节后面会更为详尽地描述 Windows 2000 身份验证过程及访问控制规定 。
身份验证
用户在 Active Directory 中必须有一个 Windows 2000 用户帐户,以登录到计算机或域中 。此帐户会为用户创建一个身份,然后操作系统会使用此身份验证用户的身份并授予访问特定域资源的权限 。
用户帐户还可用作一些应用程序的服务帐户 。也就是说,服务可被配置成以用户帐户登录(身份验证),然后通过该用户帐户授予对特定网络资源的访问权限 。
推荐阅读
- Windows 2000 安全性技术概述--2
- 蓝色警报――解决Win 2000/XP的蓝屏陷阱
- 浅析Win 2000系统中的关机技巧
- 教程/win2000 输入法学习之一:了解字符集
- Windows 2000权限叠加―谈NC机房安全隐患
- Windows98/2000安装与卸载技巧
- 用Win2000 Server自动分配IP地址
- Windows 2000操作技巧完全手册
- Windows 2000操作系统共享上网完全攻略
- 浅析Win 2000中的NTLM安全策略