+设为首页 +添加到收藏夹
windows 2000使公司可以将不同的商业单元集成到一个统一的结构中,这个结构就是活动目录森林,这在windows nt 4.0中是不可能的.许多在nt 4.0域中不能共存的商业单元现在可以在活动目录的组织单元(ous)或域中与平共处.但是正如一些使用单 森林结构的人所说,也存在一些商业单元不能共处的场合.有时商业需求或政治原因要求您实现分离的森林.在许多情况下,分离森林中的用户仍然需要访问中心森林中的资源.因此,你需要在中心森林与其他森林之间建立信任关系.windows 2003在不同森林域之间建立信任关系的方法与nt 4.0一致.但是windows server 2003新的森林信任功能使其变得更简单.
从信息安全的角度观察,域不仅是安全边界,而且还是复制与管理的边界.根域管理员组.域管理员组与企业管理员组的成员可以轻易地访问森林中的任何机器.将资源真正隔离的唯一办法就是将它们放入分离的森林中. 【程序编程相关:另类方法恢复双启动菜单】
多森林范例 【推荐阅读:Win98/XP双系统中安全删除XP】
什么时候需要分离的森林呢?这在几种情形下需要.最常见的情形是需要保证管理自治(相当于“我不信任您”).另一种情形是主体的商业单元自己运行windows 2000森林,并且不能立即更新,由于这个森林还需要一段时间,因此你需要找到与它共存的方法.还有一种情形与森林架构有关,请记住架构(例如ad结构定义)在整个森林中共享,如果你要频繁更改架构,你应该在分离的森林中做这些事情,这样只在需要时更改中心森林架构. 【扩展信息:Windows操作系统的维护常识】
我们不需要放弃只建立单森林的想法,但我们需要改变一下,即:将森林数量控制在最小,并且只在必需时增加森林.关于如何确定是否创建森林的标准,参见微软白皮书“design considerations for delegation of administration in active directory”(http://www.microsoft.com/windows2000/techinfo/planning/activedirectory/addeladmin.asp).这个白皮书清晰地说明了ou.域与森林之间的安全边界,并说明了如何确定是否将商业单元放入分离森林的过程.
资源分离是另一个建立分离森林的重要原因.例如,法律代理部门的信息需要分离,受保护的合同也需要分离.一些像银行这样的产业,如果将客户信息共享会受到处罚.
windows 2000的森林内信任
在windows 2000的一个森林内,kerberos安全协议自动建立域间信任关系.kerberos的一个重要功能是支持信任传递.如果a域信任b域,b域信任c域,则a域自动信任c域.记忆信任传递的简单办法就是记住“你的朋友就是我的朋友”.这个功能使域树的概念成为可能,kerberos票据自动传递使森林中的一个域可以自动信任其他域.... 下一页