Windows 2003 Server的新安全机制

核心提示： ㈡ 运行在Local System安全上下文之下的服务变少了，因为Local System具有不受限制的本地特权，Windows 2003 Server的新安全机制(3)，现在，许多情况下，在Windows Server 2003林中，这种跨越将两个断开连接的Windows Server

㈡ 运行在Local System安全上下文之下的服务变少了，因为Local System具有不受限制的本地特权。现在，许多情况下，Local System被Local Service或Network Service帐户取代，这两个帐户都只有稍高于授权用户的特权。正如其名字所示的，Local Service帐户用于本地系统的服务，它类似于已验证的用户帐户的特殊内置帐户。Local Service帐户对于资源和对象的访问级别与Users组的成员相同。如果单个服务或进程受到危害，则通过上述受限制的访问将有助于保护系统。以Local Service帐户运行的服务作为空会话，而且不使用任何凭据访问网络资源。

相对地，Network Service则被用于必须要有网络访问的服务，它对于资源和对象的访问级别也与Users组的成员相同，以Network Service帐户来运行的服务将使用计算机帐户的凭据来访问网络资源。 　　

四、身份验证

身份验证方面的增强涵盖了基于本地系统的身份验证和基于活动目录域的身份验证。

在本地系统验证方面，默认的设置限制不带密码的本地帐户只能用于控制台。这就是说，不带密码的帐户将不能再用于远程系统的访问，例如驱动器映射、远程桌面/远程协助连接。

活动目录验证的变化在跨越林的信任方面特别突出。跨越林的信任功能允许在林的根域之间创建基于Kerberos的信任关系（要求两个林都运行在Windows 2003功能级别上）。在 Windows Server 2003林中，管理员可创建一个林，将单个林范围外的双向传递性扩展到另外一个Windows Server 2003林中。在Windows Server 2003林中，这种跨越将两个断开连接的Windows Server 2003林链接起来建立单向或双向可传递信任关系。双向林信任用于在两个林中的每个域之间建立可传递的信任关系。