保护Windows Server 2003活动目录

核心提示： 单一森林与多个森林单一的森林结构比较适用于小型或中型的企业，因为这种结构更易于管理，保护Windows Server 2003活动目录(4)，但是对大型企业来说，每个部门或者办公区域都需要有完整的管理用户和计算机的能力，同时，你还必须对DNS服务器进行配置，在这种环境下，各个部门之间更多的

单一森林与多个森林

单一的森林结构比较适用于小型或中型的企业，因为这种结构更易于管理。但是对大型企业来说，每个部门或者办公区域都需要有完整的管理用户和计算机的能力。在这种环境下，各个部门之间更多的是一种不信任的关系。因此一个企业内设立多个森林是比较理想的解决方案，它使得每个部门都能有完全的自主权。

同时，虽然在多个森林的环境中，管理负担被分散了，但是实际上，管理多个森林环境要比管理单一森林的负担重很多，这使得公司的管理成本也相应提升。我个人的观点是，设计Windows Server 2003的AD环境，成本和安全性如何相互权衡是一个问题。

森林间的信任关系

下面我们看看多森林机制下，如何确保公司AD的安全性。首先，每个森林都有自己的AD；各个森林之间没有一个公共的连接关系。因此，我们可以让每个森林都使用同一个通用的DNS服务器。假设这个通用的DNS服务器以及备份DNS服务器受到可靠的管理，那么将它们合并成一个DNS服务器可以部分降低资源成本和管理负担。不过这种方法也有不足的地方，当这个公用的DNS服务器崩溃时，由于网络内没有备用DNS服务器，那么网络可能会无法正常运转。

在Windows Server 2003中设置森林间的信任关系，首先要满足一些前提条件。其中最难满足的条件是令所有参与信任关系设置的森林都以“功能级”模式运行。我们都知道，Windows 2000的AD可以按照混合模式或本机模式运行，而Windows Server 2003的“功能级”模式与此类似。将一个森林设置为Windows Server 2003的“功能级”模式需要森林内的所有域控制器均采用Windows Server 2003操作系统。

要创建森林内部的信任关系，作为管理员，你必须是Enterprise Admins组的成员。同时，你还必须对DNS服务器进行配置，以便它可以解析森林内部所有确立了信任关系的域和服务器。