Windows 2003 活动目录保护

核心提示： 跨森林身份验证Windows Server 2003的森林内信任支持跨森林身份验证，假设一个在森林A 上登录的用户需要登录到森林B进行业务操作，Windows 2003 活动目录保护(6)，通过跨森林身份验证功能，就算这个用户是在森林A登录，这个方案实施起来并不轻松，它需要很多先决条件，他

跨森林身份验证

Windows Server 2003的森林内信任支持跨森林身份验证。假设一个在森林A 上登录的用户需要登录到森林B进行业务操作。通过跨森林身份验证功能，就算这个用户是在森林A登录，他依然可以像登陆森林A一样登录进森林B。

由于森林B中的域控制器和全局目录中都没有关于该用户在森林B中的资料，因此这种登录方式看上去非常不可思议。实际上，当用户试图登录时，计算机会先后检查域控制器和全局目录上有关该用户的账户信息。由于找不到该账户，系统会开启跨森林的按账户名匹配的搜索功能。该功能会搜索所有确认的命名空间（即森林）中与这个账户匹配的账户证书。由于这种搜索和比较功能是通过Kerberos 和NTLM实现的，因此非常安全。

跨森林授权

Windows Server 2003的另一个优势是可以跨森林授权。管理员通过访问控制列表(Access Control List，ACL)就可以直接为本森林内或者是其它森林内的用户赋予权限。当然，取消权限也可以同样操作。

比如，你是公司研发部门的管理员，你需要确保部门内的全部文件都是保密的。而公司内另一个具有森林级权限的管理员却与竞争对手公司之间建立了一个森林内信任关系。如果你希望能让竞争对手公司的用户无法访问到你的数据，你可以拒绝这些用户访问你部门所在域的所有服务器。

虽然这有一定效果，但是你必须完整地输入所要屏蔽的用户名或者用户组的名字，而不能通过其它措施屏蔽他们。因此，你很难完全保证对方森林的用户不会看到你的保密数据。不过另外还有一个相对有效的措施，即获取对方森林下的所有域的域名，然后屏蔽这些域下的 Everyone组，这样基本可以实现屏蔽的作用。

总结

虽然Windows 2000要比Windows NT新，但是它的一些改变却降低了系统的安全性。而Windows Server 2003则向你提供了一些更加灵活的安全方案。其中一个比较有效的安全措施就是构建多个森林，然后在森林之间实现信任关系。当然，这个方案实施起来并不轻松，它需要很多先决条件，并且会使整个架构的建设成本以及后期维护成本大大增加。