活动目录的基本安全问题( 二 )
域控制器包含用于域验证的用户私钥的拷贝 , 在域控制器的恢复后Syskey能用来重新创建私钥 , Syskey是一种微软加密工具 , 它使用128位随意Key , 对所有私钥提供加密 。这个Key可以保存在域控制器的注册表里或是软盘中 , 微软推荐为保证最大的安全性将它存在软盘中 。
本机模式
当你安装活动目录创建第一个域时 , 活动目录运行在默认的混合模式 , 这允许对运行NT4.0或Windows 2000域控制器的支持 , 当你规划许可的时候 , 允许你升级域控制器到Windows 2000 。
当运行在混合模式时 , 活动目录是限制了对NT4.0安全帐号管理(SAM)的限制 , 当运行在本机模式时 , 数百万的对象是可用的 。
当树林中所有的域控制器运行Windows 2000时 , 你可以转换到本机模式 , 成员服务器可以在NT4.0上 , 工作站可以在98、ME、NT4.0 。本机模式允许组嵌套和全局安全组 。然而 , 一旦你转换到了本机模式 , 将不能再转换回混合模式 。
架构
所有对象和它们属性的活动目录数据库 , 叫做架构 , 如果架构的默认特性不能满足你的组织的要求 , 你可以创建对象来满足要求 。活动目录架构设计也定义了哪个对象和属性将被索引 , 什么将在活动目录全局编目下发布 。
对象被组织成组称为容器 , 一个容器可以嵌套其它的容器 。
架构在树林中所有域控制器间是分布式的 , 这允许在架构中关于对象和属性的信息对用户应用是动态可用的 , 当改变可新的对象发生时它也是动态更新的 。一个域控制器 , 叫作架构主机 , 将被指派在树林中控制所有的更新 , 在树林中只能有一个域控制器充当架构主机 。
组织单元 (OU)
为管理的目的 , 对象可能放置在逻辑组中 , 一个组织单元(OU)是一个容器对象 , 它将如组、用户帐号、计算机、打印机和其它OU这样的对象组织起来 。
Objects can be placed into logical groupings for administrative purposes. An Organizational Unit (OU) is a container objectwhich organizes objects, such as groups, user accounts, computers, printers, and other OUs.
当创建一个树林时 , 已存在的NT4.0的域的管理员仍可以在它们的环境下执行管理任务 , 当被限制为树林的其它时 , 通过在一个OU中降低管理控制对象来实现 。
一个OU能被指派到一个服务器或一个工作站 , 这帮助安全一个高危险或暴露的机器 。
全局编录
全局编录是一个信息的仓库 , 它包含了在活动目录中所有对象连续请求信息的子集 , 例如一个用户登陆ID、姓和名 , Exchange 2000在分布式列表 , 邮件地址等方面将利用全局编录 。
编录所在的域服务器称为全局编录服务器 , 默认情况下在活动目录中创建的第一个域控制器为全局编录服务器 , 其它的域服务器也可以指派作为全局编录服务器来平衡网络流量 。在树林根域控制中一个或更多的域控制器将始终为全局编录服务器 。全局编录服务器的可用性对活动目录的作用是至关重要的 。
轻量级目录访问协议 (LDAP)
轻量级目录访问协议(LDAP)是目录服务协议 , 它通常用来查询和更新活动目录 。活动目录的每个对象都有一个基于LDAP著名的命名习俗下的名字 。LDAP提供对活动目录中的第一个对象的唯一命名路径 。
活动目录是一个企业级的目录服务 , 通常被Windows 2000和Exchange 2000使用 , 因此 , Exchange 2000使用LDAP查询最靠近的全局编录服务器去进行地址查找和信息路由 。LDAP不是加密的 , 能被任何网络sniffing设备所看到 , 当利用全局编录服务器时 , 这是一个非常重要的安全考虑 。
域控制器和复制
推荐阅读
- 生死什么的成语有哪些
- 野刺梨的功效与作用 野刺梨的禁忌
- 华为畅享10指纹解锁在哪
- 对N2300使用两个月的感受
- PS制作波浪线的两种操作方式
- 茄子蒂的功效与作用 茄子蒂的禁忌
- 支付宝蚂蚁庄园4月14日答案 漂浮在天空中的一朵云有多重
- 活动目录基础--活动目录的相关术语
- 蜜獾的天敌
- 生死两字组成的成语有哪些