Windows 2003 活动目录保护

核心提示：如果我告诉你， Windows NT Server 4.0的安全性要高于Windows 2000 Server，Windows 2003 活动目录保护，你也许会认为我在说胡话，但是有时候，和在Windows NT环境中一样，每一个域仍然有自己的管理员，事实比胡话更加令人不可思议，在某些情况下

如果我告诉你， Windows NT Server 4.0的安全性要高于Windows 2000 Server，你也许会认为我在说胡话。但是有时候，事实比胡话更加令人不可思议。在某些情况下，Windows NT Server确实要比Windows 2000 Server具有更好的安全性。不过Microsoft已经发现了这个问题，并在Windows Server 2003的活动目录中重新采用了类似于Windows NT4.0的安全架构。下面我们就来研究一下这个安全问题，然后我会提供几个小技巧，帮助你更好的确保AD环境的安全。

物理安全是首位

当我们试图保证AD环境的安全时，首先要考虑的就是它的物理环境是否安全。如果任何你不信任的人可以随意接触到你的域控制器或DNS服务器，那么你的AD环境肯定不会安全。很多管理工具以及灾难恢复工具的存在也可以为黑客提供相当大的便利。

假如可以从物理上接触到服务器，那么就算是电脑水平一般的人也可以在较短时间内进入你的系统。因此，在你没有确保服务器位于一个安全环境时，也不用考虑如何加强AD的安全性了。

Windows NT 对阵 Windows 2000 不要误解我在文章开始时所说的话。在很多情况下，Windows 2000所提供的安全性确实要强于Windows NT。但是不能忘记计算机领域的一个基本规则：越是复杂的程序越容易出现可被利用的安全漏洞。毫无疑问，Windows 2000要比Windows NT复杂的多。

这方面最好的例子就是在不同操作系统中，域模式的实现方式不同。在Windows NT中，域是唯一的组织结构。一个域可以包含整个公司内的全部用户、组、以及计算机。如果这个公司非常大，那么可以设立多个域，并在域之间建立信任关系，但是每个域都是独立的结构。

在开发Windows 2000时，微软意识到Windows NT中的域模式并不能很好的用于更大型的企业，因此微软在一个被称为森林（forest）的结构上采用了活动目录（AD）模式。在一个森林中，你可以创建多个不同的域，甚至可以使用父域以及子域等树木结构。和在Windows NT环境中一样，每一个域仍然有自己的管理员，不过相似性也就只有这些了。