Windows 2003 活动目录保护

核心提示： 在Windows 2000中，微软认为应该让域变得更加易于管理，Windows 2003 活动目录保护(2)，因此它为域的管理创建了不同的等级，比如，怀有恶意的管理员无法通过修改本地域的SAM文件来间接破坏对方域的SAM文件，同样，一个Domain Admins组的成员可以管理当前域以及当

在Windows 2000中，微软认为应该让域变得更加易于管理，因此它为域的管理创建了不同的等级。比如，一个Domain Admins组的成员可以管理当前域以及当前域的子域。而Enterprise Admins组的成员则可以管理整个森林中的任何一个域。由此也产生了一些问题。

在Windows 2000 的AD模式中，最大的问题是森林中所有的域都是相互信任的，这将引发一系列问题。首先，当安全规则没有设立好时，域管理员可以通过把自己添加到Enterprise Admins组的方式提高自己的管理权限，这样他们就具有了管理整个森林中任何一个域的权限。如果该域具有一定的安全规则，那么恶意的管理员也可以通过篡改SID纪录以及运行提升权限操作等对整个森林进行攻击。通过操作SID纪录，管理员可以赋予自己Enterprise Admin的权限。

另外，Windows 2000 的AD安全模式中还存在一些固有的薄弱环节。也许你知道，每一个域都至少需要一个域控制器，而每一个域控制器都包含了该域以及整个森林的信息。这些信息包括AD结构以及一些基本的配置。

现在设想一下，假如公司里的一个管理员一时疏忽，安装了一个恶意程序，或者对AD做了一些不正确的配置。如果这个配置的改动是针对森林级的AD组件进行的，那么最终这个改变将传递到整个森林里的每个域控制器上，这将破坏每个域控制器上的AD配置副本并有可能造成整个公司的网络瘫痪。

让我们再来对比一下Windows NT中的情况。就算一个域信任另一个域，每个域中都会包含和各自域有关的安全帐户管理副本。因此，怀有恶意的管理员无法通过修改本地域的SAM文件来间接破坏对方域的SAM文件。同样，在Windows NT中没有一个足够大的管理员权限可以让某个域的管理员将权限提升到可以控制公司网络内其它域的地步。