保护Windows Server 2003活动目录

核心提示： 让我们再来对比一下Windows NT中的情况，就算一个域信任另一个域，保护Windows Server 2003活动目录(3)，每个域中都会包含和各自域有关的安全帐户管理副本，因此，而在2003中，这种信任关系扩展到了森林之间，怀有恶意的管理员无法通过修改本地域的SAM文件来间接破坏对方

让我们再来对比一下Windows NT中的情况。就算一个域信任另一个域，每个域中都会包含和各自域有关的安全帐户管理副本。因此，怀有恶意的管理员无法通过修改本地域的SAM文件来间接破坏对方域的SAM文件。同样，在Windows NT中没有一个足够大的管理员权限可以让某个域的管理员将权限提升到可以控制公司网络内其它域的地步。

另一个有关Windows NT的信任关系的优势在于， 这种信任关系既可以是单向的，也可以是双向的，并且这种信任关系本质上是不可以传递的。这种单向性意味着，假如你有两个域，Users 域和Admin域， 你可以让他们之间相互信任，也可以仅让Users 域信任Admin域，而Admin域不信任Users 域。而信任关系的不可传递性意味着，假如域A信任域B，而域B又信任域C，那么域A 依然不会信任域C，除非管理员亲自指定这种信任关系。

Windows Server 2003 的安全性

看到这里，你也许会很好奇，在Windows Server 2003中，这种域的安全性到底有什么特点呢？我之所以在一开始介绍了Windows NT 和Windows 2000的区别，就是为了让大家更好的理解Windows Server 2003的特点。在Windows Server 2003种，微软将Windows NT和Windows 2000的两种模式融合在一起，因此，为了更好的保护你的Windows Server 2003网络，你必须理解上两个系统的安全模式中存在的优势和不足。 Windows 2000中最大的 AD安全弱点就是一个森林中的所有域都是通过一个通用的管理架构相联系的，这个通用的管理架构也就是森林本身。在Windows Server 2003中，森林架构依然被沿用下来，并且其作用也和Windows 2000中没有什么区别。

而Windows Server 2003的森林结构与Windows 2000 Server中的森林结构最大的不同是，在Windows Server 2003中，可以方便的建立森林和森林间的信任关系。在Windows 2000中，信任关系只存在于森林内部的域之间，而在2003中，这种信任关系扩展到了森林之间。管理员可以让一个森林中的用户像访问本地资源一样访问另一个森林中的内容。