【活动目录的基本安全问题】
介绍
旧的说法"网络就是系统"在Windows 2000分布式服务下变成一种现实 。一个单个的登陆提供了到整个Windows 2000网络的应用及资源的访问 。
最初 , 这可能是一种安全管理恶梦 , 但是如果Windows 2000正确应用的话 , 它能提供一个集中化的安全平台 , 带有许多加强的安全特性 。Kerberos和PKI(公钥基础结构)提供了网络安全机会 , MMC(微软管理控制台)和加强的组策略简单化了管理 , 提供了灵活的系统控制和应用访问 。
如果你目前有一个NT4.0环境 , 有大量的服务器和域 , 升级到Windows 2000平台需要仔细地规划和实施 。
树林和域
活动目录是定位在Windows 2000安全子系统核心的目录服务 , 提供了管理网络资源的结构和功能 。活动目录数据库包含了关于网络对象的信息 , 对象包括网络站点、域、服务器、工作站、打印机、组和用户 。这些对象放置在有相关选定用户组的域中 , 这些域变成对象的管理和安全边界 。管理的特权并不延伸到其它域 , 每一个域有它自己对象的安全策略 。每一个域也有对相邻域的安全策略 。
树林由一个分级结构的域组成 , 这个结构开始的那个域叫作树林的根域 , 域在格式上与家族树相同 , 如子域、父域、祖父域等等 。一个树林包含了一个或多个的树 。
默认情况下 , 任何子域与父域都有一个双向信任的关系 , 它扩展到树林中的所有其它的域 , 称为可传递信任 。当一个域的验证授权验证一个用户或应用时 , 所有其它的域接受这个验证 , 因为它是一个双向信任的关系 。在一个信任域里对资源的访问受到每一个域的访问控制的限制 , 一个域基本上是一个安全边界 。
信任关系可以存在于一个Windows 2000域和一个基于Unix MIT的领域 , 对域中的资源提供网络访问 。一个Windows 2000域控制器可以验证一个基本UNIX MIT领域的客户去提供网络访问 。
信任关系可以在使用高级服务器的康柏 VMS系统的域间建立 , 使用高级服务器的康柏 VMS系统也可以成为本地活动目录的一个成员服务器 。
当活动目录被安装的时候 , 第一个创建的域将成为树林的根域 , 在为树林域选择一个命名时应该仔细考虑 , 因为一旦命名它就不能改变 。另外 , 在一个树林根域中所有域控制器的灾难损失事件中 , 你仅能从备份中恢复树林的根域 。通过重新安装去恢复树林根域是不可能的 。重新安装它意味着所有的树林将被清空重建 。
企业管理组和规划管理组仅存在于树林的根域中 , 它们是对树林的核心的管理和安全组 , 具有无限制的权力 。一旦树林被建立 , 访问将被限制 。
备份活动目录也包括备份系统状态数据文件 。
系统状态数据文件包括:
·活动目录
·验证服务数据库(如果有验证服务器)
·分级注册(关于组件服务的数据库信息)
·群集服务(如果安装)
·性能计数器配置
·注册表
·Sysvol目录(包含组策略模板和登陆脚本的共享文件夹)
·系统开始文件
系统状态数据备份可以执行常规备份 , 注意的是活动目录目前并不支持增量备份 , 仅可能从全备份中恢复 。你不能从超过60天以上的备份中恢复 , 因为这是一个墓碑生命时间 , 60天是域控制器保持跟踪删除对象的时间长度 。
有两种类型的恢复 , 非授权和授权 。非授权是活动目录恢复到备份时的状态 , 在恢复后 , 目录执行连续的检查和维护 , 然后从其它域控制器上更新活动目录和文件复制服务(FRS) 。
在一个非授权恢复发生后 , 一个授权恢复可能执行 。在一个域中多个域控制器允许对数据库中标记为更新的特定信息进行授权恢复 , 在数据库中每一个对象用版本号来标记 , 有最高版本号的域控制器将更新数据库 。这样允许活动恢复到一个已知的状态 。
推荐阅读
- 生死什么的成语有哪些
- 野刺梨的功效与作用 野刺梨的禁忌
- 华为畅享10指纹解锁在哪
- 对N2300使用两个月的感受
- PS制作波浪线的两种操作方式
- 茄子蒂的功效与作用 茄子蒂的禁忌
- 支付宝蚂蚁庄园4月14日答案 漂浮在天空中的一朵云有多重
- 活动目录基础--活动目录的相关术语
- 蜜獾的天敌
- 生死两字组成的成语有哪些