当前位置: 首页 > 图文教程 > 服务器 > Windows服务器 > Win 2003轻松建立森林间信任

Windows服务器
windows 2003在运行Sysprep时添加自定义用户设置
设置windows 2003的本地策略应用
用好W2K的关机与休眠功能
屏保程序技巧两则
让Win2000服务运行得更好
特殊用途的IP地址介绍
如何禁止显示Windows2000上次登录的用户名
详述Windows2000系统日志及其删除方法
仔细检查文件控制权系统升级才能无后顾之忧
保障Windows2000的账号安全
安全审核让入侵者无处遁形
巧破NTFS下的Win2000口令
Win2000故障解决一览
Win2000系统进程详解
利用输入法找回Windows2000登录密码
Windows2000引导揭秘
自动登录Windows2000系统的两则技巧
随心所欲的设置Windows2000的共享
安装Windows2000
windows2000登陆漏洞解决方法

Windows服务器 中的 Win 2003轻松建立森林间信任


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-02   浏览: 35 ::
收藏到网摘: n/a

    Windows 2000使公司可以将不同的商业单元集成到一个统一的结构中,这个结构就是活动目录森林,这在Windows NT 4.0中是不可能的。许多在NT 4.0域中不能共存的商业单元现在可以在活动目录的组织单元(OUs)或域中和平共处。但是正如一些使用单 森林结构的人所说,也存在一些商业单元不能共处的场合。有时商业需求或政治原因要求您实现分离的森林。在许多情况下,分离森林中的用户仍然需要访问中心森林中的资源。因此,你需要在中心森林和其他森林之间建立信任关系。Windows 2003在不同森林域之间建立信任关系的方法与NT 4.0一致。但是Windows Server 2003新的森林信任功能使其变得更简单。

  多森林范例

  从信息安全的角度观察,域不仅是安全边界,而且还是复制与管理的边界。根域管理员组、域管理员组和企业管理员组的成员可以轻易地访问森林中的任何机器。将资源真正隔离的唯一办法就是将它们放入分离的森林中。

  我们不需要放弃只建立单森林的想法,但我们需要改变一下,即:将森林数量控制在最小,并且只在必需时增加森林。关于如何确定是否创建森林的标准,参见微软白皮书“Design Considerations for Delegation of Administration in Active Directory”(http://www.microsoft.com/windows2000/techinfo/planning/activedirectory/addeladmin.asp)。这个白皮书清晰地说明了OU、域和森林之间的安全边界,并说明了如何确定是否将商业单元放入分离森林的过程。

  什么时候需要分离的森林呢?这在几种情形下需要。最常见的情形是需要保证管理自治(相当于“我不信任您”)。另一种情形是主体的商业单元自己运行Windows 2000森林,并且不能立即更新,由于这个森林还需要一段时间,因此你需要找到与它共存的方法。还有一种情形与森林架构有关,请记住架构(例如AD结构定义)在整个森林中共享,如果你要频繁更改架构,你应该在分离的森林中做这些事情,这样只在需要时更改中心森林架构。

  资源分离是另一个建立分离森林的重要原因。例如,法律代理部门的信息需要分离,受保护的合同也需要分离。一些像银行这样的产业,如果将客户信息共享会受到处罚。

    Windows 2000的森林内信任

  在Windows 2000的一个森林内,Kerberos安全协议自动建立域间信任关系。Kerberos的一个重要功能是支持信任传递。如果A域信任B域,B域信任C域,则A域自动信任C域。记忆信任传递的简单办法就是记住“你的朋友就是我的朋友”。这个功能使域树的概念成为可能,Kerberos票据自动传递使森林中的一个域可以自动信任其他域。Kerberos在森林中的双向信任也叫“内部信任”。若要更多了解Windows 2000的Kerberos技术,参见微软白皮书“Windows 2000 Kerberos Authentication”(http://www.microsoft.com/windows2000/techinfo/howitworks/security/kerberos.asp)。

  Windows 2000的森林间信任

  森林之外的信任关系更原始一些。在Windows 2000中,Kerberos无法建立跨森林的信任。NT LAN Manager(NTLM)将建立与其他森林的NT 4.0域和Windows 2000域之间的信任关系。这些信任称为“外部信任”(第三种信任,即“快捷信任”,使用Kerberos直接连接两个域树的子域,以提高性能)。

  外部信任与NT 4.0信任有相同的限制:外部信任不如Kerberos信任安全,并且不能传递。因此,你很快会陷入和NT 4.0一样的境地,你必须在每个森林的每个域维护信任。

  Windows 2003的森林信任

  森林信任是连接两个森林根域的一种信任。森林信任使您可以用简单轻松的方式将友好森林绑到一起,比NTLM信任更快、更灵活。由于森林信任用Kerberos替代了NTLM,两个森林之间的信任是可传递的。例如,如果森林A信任森林B,则森林A中的所有域也信任森林B中的所有域。然而,这种信任不在森林间传递,如果森林A信任森林B,森林B信任森林C,森林A并不能自动信任森林C。这和NTLM信任的规则一样,但是它被放大到适合于域森林,和NTLM信任一样,你可以建立单向或双向信任。

  森林信任的优点

  森林信任的两个优点是跨森林认证和授权。跨森林认证使被信任森林中的用户可以登录到信任森林的机器上,而不用重复创建账号。跨森林授权同样使你可以对被信任森林的用户分配权限,以便他们访问信任森林的资源,同样无需重复账号。这个行为不会危害森林安全边界。

  尽管你可以在森林间建立外部信任,但使用基于Kerberos的森林信任极大地减少了森林间所需信任的数量。如果在两个森林的所有域之间建立信任关系,你可以用下面的公式计算所需外部信任的数量。外部信任总数=(1单向信任或2双向信任)×(森林A中的域数)×(森林B中的域数)。

  例如,假设你有一个包含三个域的开发森林(DEV)和一个包含四个域的生产森林(PROD),你希望跨森林建立所有域之间的双向信任关系。则你需要建立24个信任,既2×