WEB开发网
开发学院操作系统windows 2008 Windows 2003 活动目录保护 阅读

Windows 2003 活动目录保护

 2007-01-13 12:14:48 来源:WEB开发网   
核心提示: 同时,虽然在多个森林的环境中,Windows 2003 活动目录保护(4),管理负担被分散了,但是实际上,反之亦然,不过在森林级别上,管理多个森林环境要比管理单一森林的负担重很多,这使得公司的管理成本也相应提升

同时,虽然在多个森林的环境中,管理负担被分散了,但是实际上,管理多个森林环境要比管理单一森林的负担重很多,这使得公司的管理成本也相应提升。我个人的观点是,设计Windows Server 2003的AD环境,成本和安全性如何相互权衡是一个问题。

森林间的信任关系

下面我们看看多森林机制下,如何确保公司AD的安全性。首先,每个森林都有自己的AD;各个森林之间没有一个公共的连接关系。因此,我们可以让每个森林都使用同一个通用的DNS服务器。假设这个通用的DNS服务器以及备份DNS服务器受到可靠的管理,那么将它们合并成一个DNS服务器可以部分降低资源成本和管理负担。不过这种方法也有不足的地方,当这个公用的DNS服务器崩溃时,由于网络内没有备用DNS服务器,那么网络可能会无法正常运转。

在Windows Server 2003中设置森林间的信任关系,首先要满足一些前提条件。其中最难满足的条件是令所有参与信任关系设置的森林都以“功能级”模式运行。我们都知道,Windows 2000的AD可以按照混合模式或本机模式运行,而Windows Server 2003的“功能级”模式与此类似。将一个森林设置为Windows Server 2003的“功能级”模式需要森林内的所有域控制器均采用Windows Server 2003操作系统。

要创建森林内部的信任关系,作为管理员,你必须是Enterprise Admins组的成员。同时,你还必须对DNS服务器进行配置,以便它可以解析森林内部所有确立了信任关系的域和服务器。

最后,让我们回想一下Windows 2000中的AD结构,每个森林都有一个根域,并且其它所有的域都依存在这个根域之下。在Windows Server 2003中,只可以自根域创建内部信任关系,因为森林内部的信任关系在域一级上是可以传递的。这意味着假如你在森林A和森林B之间确立的信任关系,那么森林A中的所有域都会信任森林B中的所有域,反之亦然。不过在森林级别上,信任关系是不能传递的。

上一页  1 2 3 4 5 6  下一页

Tags:Windows 活动 目录

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接