Windows 2003 活动目录保护

核心提示： 另一个有关Windows NT的信任关系的优势在于， 这种信任关系既可以是单向的，Windows 2003 活动目录保护(3)，也可以是双向的，并且这种信任关系本质上是不可以传递的，各个部门之间更多的是一种不信任的关系，因此一个企业内设立多个森林是比较理想的解决方案，这种单向性意味着，假如

另一个有关Windows NT的信任关系的优势在于， 这种信任关系既可以是单向的，也可以是双向的，并且这种信任关系本质上是不可以传递的。这种单向性意味着，假如你有两个域，Users 域和Admin域， 你可以让他们之间相互信任，也可以仅让Users 域信任Admin域，而Admin域不信任Users 域。而信任关系的不可传递性意味着，假如域A信任域B，而域B又信任域C，那么域A 依然不会信任域C，除非管理员亲自指定这种信任关系。

Windows Server 2003 的安全性

看到这里，你也许会很好奇，在Windows Server 2003中，这种域的安全性到底有什么特点呢？我之所以在一开始介绍了Windows NT 和Windows 2000的区别，就是为了让大家更好的理解Windows Server 2003的特点。在Windows Server 2003种，微软将Windows NT和Windows 2000的两种模式融合在一起，因此，为了更好的保护你的Windows Server 2003网络，你必须理解上两个系统的安全模式中存在的优势和不足。 Windows 2000中最大的 AD安全弱点就是一个森林中的所有域都是通过一个通用的管理架构相联系的，这个通用的管理架构也就是森林本身。在Windows Server 2003中，森林架构依然被沿用下来，并且其作用也和Windows 2000中没有什么区别。

而Windows Server 2003的森林结构与Windows 2000 Server中的森林结构最大的不同是，在Windows Server 2003中，可以方便的建立森林和森林间的信任关系。在Windows 2000中，信任关系只存在于森林内部的域之间，而在2003中，这种信任关系扩展到了森林之间。管理员可以让一个森林中的用户像访问本地资源一样访问另一个森林中的内容。

单一森林与多个森林

单一的森林结构比较适用于小型或中型的企业，因为这种结构更易于管理。但是对大型企业来说，每个部门或者办公区域都需要有完整的管理用户和计算机的能力。在这种环境下，各个部门之间更多的是一种不信任的关系。因此一个企业内设立多个森林是比较理想的解决方案，它使得每个部门都能有完全的自主权。