Windows 2003 Server的新安全机制

核心提示： 林信任具有许多优点：⑴ 通过减少共享资源所需的外部信任数，使得跨越两个 Windows Server 2003林的资源的管理得以简化，Windows 2003 Server的新安全机制(4)， ⑵ 每个林中每个域之间的完全的双向信任关系， ⑶ 使用跨越两个林的用户主体名称（UPN）身份验证

林信任具有许多优点：

⑴ 通过减少共享资源所需的外部信任数，使得跨越两个 Windows Server 2003林的资源的管理得以简化。

⑵ 每个林中每个域之间的完全的双向信任关系。

⑶ 使用跨越两个林的用户主体名称（UPN）身份验证。

⑷ 使用Kerberos V5和NTLM身份验证协议，提高了林之间传递的授权数据的可信度。

⑸ 灵活的管理。每个林的管理任务可以是唯一的。

林信任只能在两个林之间创建，不能隐式扩展到第三个林。也就是说，如果在林1和林2之间创建了一个林信任，在林2和林3之间也创建了一个林信任，则林1和林3之间没有隐式信任关系。

注意：在Windows 2000林中，如果一个林中的用户需要访问另一个林中的资源，管理员可在两个域之间创建外部信任关系。外部信任可以是单向或双向的非传递信任，因此限制了信任路径扩展到其他域的能力。但在Windows Server 2003 Active Directory中，默认情况下，新的外部信任和林信任强制SID筛选。SID筛选用于防止可能试图将提升的用户权限授予其他用户帐户的恶意用户的攻击。强制SID筛选不会阻止同一林中的域迁移使用SID历史记录，而且也不会影响全局组的访问控制策略。

在默认配置下，身份验证是在林的级别上进行的，来自其他林的责任人将被授予与本地用户和计算机同样的访问能力。但无论是谁，都受到设置在资源上的权限的约束。

如果上述默认配置不能满足要求，你可以配置选择性验证，不过这要有Windows 2003的林功能级别。在这种配置方式中，你可以指定哪些来自其他林的用户或组允许通过验证，以及选择本地林的哪些资源可用来执行验证。具体设置分两步进行。 　　

第一步是授予来自其他林的责任人允许验证的权限。例如，假设有两个Windows 2003功能级别的林ForestA和ForestB，两者之间有信任关系。ForestA中DomainA域的UserA用户需要访问ForestB中DomainB域ServerB服务器的ShareB共享资源。要达到这个目标，必须按如下方式操作：

⑴ DomainA的管理员在DomainA域中创建一个全局组（例如GroupA），其中包含成员UserA。虽然可以直接授予UserA适当的权限（这种方式的优点之一是透明），但如果用户数量较多，直接配置各个用户的话效率就很低了。

⑵ 启动Active Directory用户和计算机管理器，找到DomainB，再找到ServerB，双击ServerB的图标，打开它的属性对话框。

⑶ 转到安全设置页，将DomainAGroupA加入到窗口上方的清单。在窗口下方，选中“允许验证”和“读取”权限的“允许”选项。第一步的设置到这里完成，我们已经允许DomainAGroupA的成员访问DomainBServerB时执行验证。 　　

第二步很简单，只要把ServerB服务器ShareB共享资源上适当的权限授予DomainAGroupA全局组即可（或者，也可以将DomainAGroupA全局组加入到DomainB域本地组，然后对本地组授权）。 　　

结束语：本文只涉及了Windows 2003安全性很小的一方面，许多重要的主题尚未涉及，例如Active Directory安全特性（SID过滤等），以及托管、非托管代码的应用程序代码控制等。尽管如此，我们已经可以体会到微软宣称的“迄今为止微软最强大的Windows服务器操作系统”确实在安全性方面作了许多改进。