[摘要]为了向后兼容性,在 Windows 2000 中,信任关系通过使用 Kerberos V5 协议及 NTLM 身份验证(描述如下)支持跨域的身份验证。这一点很重要,因为许多组织的基于 Windows NT 的企业域模型非常复杂,具有多个主域和许多资源域,而这些组织发现管理资源域和其主帐户域间的信任...
为了向后兼容性,在 Windows 2000 中,信任关系通过使用 Kerberos V5 协议及 NTLM 身份验证(描述如下)支持跨域的身份验证。这一点很重要,因为许多组织的基于 Windows NT 的企业域模型非常复杂,具有多个主域和许多资源域,而这些组织发现管理资源域和其主帐户域间的信任关系既花费成本又非常复杂。因为基于 Windows 2000 的域目录树支持传递信任目录树,它简化了较大型组织的网络域集成及管理。不过请注意,对于 ACL 不同意授予某些权限的人,传递信任不会自动将这些权限指派给他(或她)。传递信任让管理员更容易定义和配置访问权限。
使用组策略管理安全性
组策略设置是配置设置,管理者可用此设置来控制 Actove Directory 中对象的各种行为。“组策略”是 Active Directory 一项显著的功能,它让您以相同的方式将所有类型的策略应用到众多计算机上。例如,可以使用“组策略”来
配置安全性选项,管理应用程序,管理桌面外观,指派脚本,以及将文件夹从本地计算机重新定向到网络位置。系统将“组策略”设置在计算机激活时应用于计算机,在用户登录时应用于用户。
可以将“组策略”配置设置与三个 Active Directory 容器相关联:组织单元 (OU)、域或站点。与给定的容器相关的“组策略”设置不是影响该容器中所有的用户或计算机,就是影响该容器中特定的对象集合。
可以使用“组策略”来定义广泛的安全性策略。域级策略应用于域中的所有用户并包含如帐户策略等的信息 - 例如,最短密码长度或用户多久该更改密码一次。可以指定在较低级别是否可改写这些设置。
在使用“组策略”功能来应用广泛的策略后,可以进一步细化个别 PC 上的安全性设置。本地计算机安全性设置控制您想要授予特定用户或计算机的权限和特权。例如可以指定谁可在服务器上进行备份和还原、或希望审核桌上型计算机的数据访问量。
特定计算机的设置是从域到 OU 所有策略设置的组合。例如,在上面的图 1 中,Europe.Microsoft.com 域中用户的设置
是 Microsoft.com 域、Europe.Microsoft.com 域及域中所有 OU 上设置的所有策略的集合。
身份验证和访问控制
身份验证是系统安全性的基本方面。身份验证是用来确认任何试图登录到域或访问网络资源的用户的身份。Windows 2000 身份验证过程是使单一登录可访问所有网络资源的过程的一部分。使用单一登录,用户可以用单一密码或智能卡登录到域中一次,并可对域中任何计算机进行身份验证。
在基于 Windows 2000 的计算环境中,成功的用户身份验证是由两个单独的过程组成的: 互动式登录,这会向域帐户或本地计算机确认用户的身份;以及网络身份验证,这会向用户试图访问的任何网络服务确认用户的身份。
一旦用户帐户经过身份验证并可访问对象时,要么是分配至该用户的权力要么就是附加于对象的许可来决定所授予的访问权限的类型。至于域中的对象,该对象类型的对象管理器会实施访问控制。例如,注册表会对注册表项实施访问控制。
本节后面会更为详尽地描述 Windows 2000 身份验证过程及访问控制规定。
身份验证
用户在 Active Directory 中必须有一个 Windows 2000 用户帐户,以登录到计算机或域中。此帐户会为用户创建一个身份,然后操作系统会使用此身份验证用户的身份并授予访问特定域资源的权限。
用户帐户还可用作一些应用程序的服务帐户。也就是说,服务可被配置成以用户帐户登录(身份验证),然后通过该用户帐户授予对特定网络资源的访问权限。
就像用户帐户一样,Windows 2000 计算机帐户提供一种方法来进行身份验证以及审核计算机对网络的访问权限以及对域资源的访问权限。每一台您想要授予访问资源权限的基于 Windows 2000 计算机都必须有一个唯一的计算机帐户。
注意 运行 Windows 98 和 Windows 95 的计算机没有那些运行 Windows 2000 和 Windows NT 的计算机所拥有的高级安全功能,并且在基于 Windows 2000 的域中不能被指派计算机帐户。不过,您可以登录网络并在 Active Directory 域中使用基于 Windows 98 和 Windows 95 的计算机。
Windows 2000 支持多重身份验证机制以供用户在进入网络时证明自己的身份。在使用 Extranet 和电子商务应用程序来延伸您的网络到公司外的用户时,这个机制就非常重要。
当用户进入网络时,用户必须提供身份验证信息以便安全系统身份验证其身份,之后再决定要允许该用户以什么权限(如果有的话)访问网络资源。Kerberos 身份验证协议(描述如下)用来验证您公司中的 Windows 2000 用户的身份。当将系统延伸到合作伙伴、供货商和 Internet 上的客户时,您必须支持多种方法让您公司以外的用户证明他们的身份。
为了帮助您满足这种需求,Windows 2000 支持数种产业标准身份验证机制,包括 X.509 证书、智能卡和 Kerberos 协议。此外,Windows 2000 还支持在 Windows 中使用多年的 NTLM 协议,并为开发生物身份验证机制的厂商提供接口。
……