当前位置: 首页 > 图文教程 > 服务器 > Windows服务器 > Win 2003轻松建立森林间信任

Windows服务器
Windows 2000系统下关闭端口的方法与思路
Windows2000系统如何找回丢失的管理员密码
如何在Windows 2000上安装配置防火墙
Windows 2000安全配置工具
针对Windows 2000优化Web服务器性能
Windows 2000超级技巧十则
如何修改Windows 2K远程终端默认端口
Windows 2000 SP4八大热点问题
Windows 2000中“NTLDR is missing”故障的解决
Windows 2000操作系统中ADSL的共享办法
Windows 2000开机耗内存40M秘技大公开
Windows 2000 常用系统进程列表
Windows 2000的一些Privilege
Win2000/XP与Win98互访
Windows 2000安装光盘的妙用
Win 2000/XP上网重启解决办法
深入改造Win2000“位置条”
在Win2000下“复活”老网卡
加快Win2000浏览网上邻居的速度
防患于未然 轻松做好Windows 2000安全策略

Windows服务器 中的 Win 2003轻松建立森林间信任


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-02   浏览: 27 ::
收藏到网摘: n/a

    Windows 2000使公司可以将不同的商业单元集成到一个统一的结构中,这个结构就是活动目录森林,这在Windows NT 4.0中是不可能的。许多在NT 4.0域中不能共存的商业单元现在可以在活动目录的组织单元(OUs)或域中和平共处。但是正如一些使用单 森林结构的人所说,也存在一些商业单元不能共处的场合。有时商业需求或政治原因要求您实现分离的森林。在许多情况下,分离森林中的用户仍然需要访问中心森林中的资源。因此,你需要在中心森林和其他森林之间建立信任关系。Windows 2003在不同森林域之间建立信任关系的方法与NT 4.0一致。但是Windows Server 2003新的森林信任功能使其变得更简单。

  多森林范例

  从信息安全的角度观察,域不仅是安全边界,而且还是复制与管理的边界。根域管理员组、域管理员组和企业管理员组的成员可以轻易地访问森林中的任何机器。将资源真正隔离的唯一办法就是将它们放入分离的森林中。

  我们不需要放弃只建立单森林的想法,但我们需要改变一下,即:将森林数量控制在最小,并且只在必需时增加森林。关于如何确定是否创建森林的标准,参见微软白皮书“Design Considerations for Delegation of Administration in Active Directory”(http://www.microsoft.com/windows2000/techinfo/planning/activedirectory/addeladmin.asp)。这个白皮书清晰地说明了OU、域和森林之间的安全边界,并说明了如何确定是否将商业单元放入分离森林的过程。

  什么时候需要分离的森林呢?这在几种情形下需要。最常见的情形是需要保证管理自治(相当于“我不信任您”)。另一种情形是主体的商业单元自己运行Windows 2000森林,并且不能立即更新,由于这个森林还需要一段时间,因此你需要找到与它共存的方法。还有一种情形与森林架构有关,请记住架构(例如AD结构定义)在整个森林中共享,如果你要频繁更改架构,你应该在分离的森林中做这些事情,这样只在需要时更改中心森林架构。

  资源分离是另一个建立分离森林的重要原因。例如,法律代理部门的信息需要分离,受保护的合同也需要分离。一些像银行这样的产业,如果将客户信息共享会受到处罚。

    Windows 2000的森林内信任

  在Windows 2000的一个森林内,Kerberos安全协议自动建立域间信任关系。Kerberos的一个重要功能是支持信任传递。如果A域信任B域,B域信任C域,则A域自动信任C域。记忆信任传递的简单办法就是记住“你的朋友就是我的朋友”。这个功能使域树的概念成为可能,Kerberos票据自动传递使森林中的一个域可以自动信任其他域。Kerberos在森林中的双向信任也叫“内部信任”。若要更多了解Windows 2000的Kerberos技术,参见微软白皮书“Windows 2000 Kerberos Authentication”(http://www.microsoft.com/windows2000/techinfo/howitworks/security/kerberos.asp)。

  Windows 2000的森林间信任

  森林之外的信任关系更原始一些。在Windows 2000中,Kerberos无法建立跨森林的信任。NT LAN Manager(NTLM)将建立与其他森林的NT 4.0域和Windows 2000域之间的信任关系。这些信任称为“外部信任”(第三种信任,即“快捷信任”,使用Kerberos直接连接两个域树的子域,以提高性能)。

  外部信任与NT 4.0信任有相同的限制:外部信任不如Kerberos信任安全,并且不能传递。因此,你很快会陷入和NT 4.0一样的境地,你必须在每个森林的每个域维护信任。

  Windows 2003的森林信任

  森林信任是连接两个森林根域的一种信任。森林信任使您可以用简单轻松的方式将友好森林绑到一起,比NTLM信任更快、更灵活。由于森林信任用Kerberos替代了NTLM,两个森林之间的信任是可传递的。例如,如果森林A信任森林B,则森林A中的所有域也信任森林B中的所有域。然而,这种信任不在森林间传递,如果森林A信任森林B,森林B信任森林C,森林A并不能自动信任森林C。这和NTLM信任的规则一样,但是它被放大到适合于域森林,和NTLM信任一样,你可以建立单向或双向信任。

  森林信任的优点

  森林信任的两个优点是跨森林认证和授权。跨森林认证使被信任森林中的用户可以登录到信任森林的机器上,而不用重复创建账号。跨森林授权同样使你可以对被信任森林的用户分配权限,以便他们访问信任森林的资源,同样无需重复账号。这个行为不会危害森林安全边界。

  尽管你可以在森林间建立外部信任,但使用基于Kerberos的森林信任极大地减少了森林间所需信任的数量。如果在两个森林的所有域之间建立信任关系,你可以用下面的公式计算所需外部信任的数量。外部信任总数=(1单向信任或2双向信任)×(森林A中的域数)×(森林B中的域数)。

  例如,假设你有一个包含三个域的开发森林(DEV)和一个包含四个域的生产森林(PROD),你希望跨森林建立所有域之间的双向信任关系。则你需要建立24个信任,既2×