|
為了向后兼容性,在 Windows 2000 中����,信任關系通過使用 Kerberos V5 協議及 NTLM 身份驗證(描述如下)支持跨域的身份驗證��。這一點很重要��,因為許多組織的基于 Windows NT 的企業域模型非常復雜,具有多個主域和許多資源域��,而這些組織發現管理資源域和其主帳戶域間的信任關系既花費成本又非常復雜��。因為基于 Windows 2000 的域目錄樹支持傳遞信任目錄樹�,它簡化了較大型組織的網絡域集成及管理����。不過請注意,對于 ACL 不同意授予某些權限的人,傳遞信任不會自動將這些權限指派給他(或她)��。傳遞信任讓管理員更容易定義和配置訪問權限����。
使用組策略管理安全性
組策略設置是配置設置,管理者可用此設置來控制 Actove Directory 中對象的各種行為��!敖M策略”是 Active Directory 一項顯著的功能��,它讓您以相同的方式將所有類型的策略應用到眾多計算機上�。例如�,可以使用“組策略”來
配置安全性選項,管理應用程序,管理桌面外觀�,指派腳本����,以及將文件夾從本地計算機重新定向到網絡位置�。系統將“組策略”設置在計算機激活時應用于計算機,在用戶登錄時應用于用戶����。
可以將“組策略”配置設置與三個 Active Directory 容器相關聯:組織單元 (OU)��、域或站點。與給定的容器相關的“組策略”設置不是影響該容器中所有的用戶或計算機��,就是影響該容器中特定的對象集合����。
可以使用“組策略”來定義廣泛的安全性策略。域級策略應用于域中的所有用戶并包含如帳戶策略等的信息 - 例如,最短密碼長度或用戶多久該更改密碼一次������?梢灾付ㄔ谳^低級別是否可改寫這些設置。
在使用“組策略”功能來應用廣泛的策略后,可以進一步細化個別 PC 上的安全性設置。本地計算機安全性設置控制您想要授予特定用戶或計算機的權限和特權��。例如可以指定誰可在服務器上進行備份和還原��、或希望審核桌上型計算機的數據訪問量�。
特定計算機的設置是從域到 OU 所有策略設置的組合����。例如,在上面的圖 1 中�,Europe.Microsoft.com 域中用戶的設置
是 Microsoft.com 域����、Europe.Microsoft.com 域及域中所有 OU 上設置的所有策略的集合��。
身份驗證和訪問控制
身份驗證是系統安全性的基本方面��。身份驗證是用來確認任何試圖登錄到域或訪問網絡資源的用戶的身份。Windows 2000 身份驗證過程是使單一登錄可訪問所有網絡資源的過程的一部分��。使用單一登錄��,用戶可以用單一密碼或智能卡登錄到域中一次,并可對域中任何計算機進行身份驗證�。
在基于 Windows 2000 的計算環境中��,成功的用戶身份驗證是由兩個單獨的過程組成的: 互動式登錄,這會向域帳戶或本地計算機確認用戶的身份��;以及網絡身份驗證��,這會向用戶試圖訪問的任何網絡服務確認用戶的身份��。
一旦用戶帳戶經過身份驗證并可訪問對象時,要么是分配至該用戶的權力要么就是附加于對象的許可來決定所授予的訪問權限的類型�。至于域中的對象����,該對象類型的對象管理器會實施訪問控制�。例如,注冊表會對注冊表項實施訪問控制�。
本節后面會更為詳盡地描述 Windows 2000 身份驗證過程及訪問控制規定��。
身份驗證
用戶在 Active Directory 中必須有一個 Windows 2000 用戶帳戶,以登錄到計算機或域中�。此帳戶會為用戶創建一個身份�,然后操作系統會使用此身份驗證用戶的身份并授予訪問特定域資源的權限����。
用戶帳戶還可用作一些應用程序的服務帳戶。也就是說��,服務可被配置成以用戶帳戶登錄(身份驗證)��,然后通過該用戶帳戶授予對特定網絡資源的訪問權限��。
就像用戶帳戶一樣,Windows 2000 計算機帳戶提供一種方法來進行身份驗證以及審核計算機對網絡的訪問權限以及對域資源的訪問權限��。每一臺您想要授予訪問資源權限的基于 Windows 2000 計算機都必須有一個唯一的計算機帳戶��。
注意 運行 Windows 98 和 Windows 95 的計算機沒有那些運行 Windows 2000 和 Windows NT 的計算機所擁有的高級安全功能��,并且在基于 Windows 2000 的域中不能被指派計算機帳戶。不過����,您可以登錄網絡并在 Active Directory 域中使用基于 Windows 98 和 Windows 95 的計算機。
Windows 2000 支持多重身份驗證機制以供用戶在進入網絡時證明自己的身份。在使用 Extranet 和電子商務應用程序來延伸您的網絡到公司外的用戶時,這個機制就非常重要����。
當用戶進入網絡時�,用戶必須提供身份驗證信息以便安全系統身份驗證其身份,之后再決定要允許該用戶以什么權限(如果有的話)訪問網絡資源�。Kerberos 身份驗證協議(描述如下)用來驗證您公司中的 Windows 2000 用戶的身份����。當將系統延伸到合作伙伴��、供貨商和 Internet 上的客戶時�,您必須支持多種方法讓您公司以外的用戶證明他們的身份��。
為了幫助您滿足這種需求��,Windows 2000 支持數種產業標準身份驗證機制,包括 X.509 證書�、智能卡和 Kerberos 協議��。此外,Windows 2000 還支持在 Windows 中使用多年的 NTLM 協議��,并為開發生物身份驗證機制的廠商提供接口����。
| 
