Windows 2003 活动目录保护

同时，虽然在多个森林的环境中，管理负担被分散了，但是实际上，管理多个森林环境要比管理单一森林的负担重很多，这使得公司的管理成本也相应提升。我个人的观点是，设计Windows Server 2003的AD环境，成本和安全性如何相互权衡是一个问题。

森林间的信任关系

下面我们看看多森林机制下，如何确保公司AD的安全性。首先，每个森林都有自己的AD；各个森林之间没有一个公共的连接关系。因此，我们可以让每个森林都使用同一个通用的DNS服务器。假设这个通用的DNS服务器以及备份DNS服务器受到可靠的管理，那么将它们合并成一个DNS服务器可以部分降低资源成本和管理负担。不过这种方法也有不足的地方，当这个公用的DNS服务器崩溃时，由于网络内没有备用DNS服务器，那么网络可能会无法正常运转。

在Windows Server 2003中设置森林间的信任关系，首先要满足一些前提条件。其中最难满足的条件是令所有参与信任关系设置的森林都以“功能级”模式运行。我们都知道，Windows 2000的AD可以按照混合模式或本机模式运行，而Windows Server 2003的“功能级”模式与此类似。将一个森林设置为Windows Server 2003的“功能级”模式需要森林内的所有域控制器均采用Windows Server 2003操作系统。

要创建森林内部的信任关系，作为管理员，你必须是Enterprise Admins组的成员。同时，你还必须对DNS服务器进行配置，以便它可以解析森林内部所有确立了信任关系的域和服务器。

最后，让我们回想一下Windows 2000中的AD结构，每个森林都有一个根域，并且其它所有的域都依存在这个根域之下。在Windows Server 2003中，只可以自根域创建内部信任关系，因为森林内部的信任关系在域一级上是可以传递的。这意味着假如你在森林A和森林B之间确立的信任关系，那么森林A中的所有域都会信任森林B中的所有域，反之亦然。不过在森林级别上，信任关系是不能传递的。