Windows 2000 服务器安全配置深度解析
1. 域间 Kerberos 信任关系
在 NT 网络中,每个域都是孤立的。若一个域中的用户要访问另一个域的资源,两个域的管理员必须建立明确的信任关系,且这种信任是单向的。若要实现双向关系,则需创建两个单独的信任,因为这些信任基于 NTLM 安全协议,该协议不支持相互认证。
而在 Windows 2000 网络中,情况发生了改变。借助 Kerberos 协议,所有信任关系都是双向的,并且每个父域和子域之间存在隐式的自动信任,管理员无需手动创建。此外,这些信任是可传递的,即如果第一个域信任第二个域,第二个域信任第三个域,那么第一个域也会信任第三个域。这是通过 Kerberos 转诊实现的,结果是树中的每个域都隐式信任该树中的其他每个域。
森林中域树的根域之间也存在隐式的双向可传递信任关系。只要用户账户拥有适当的权限,用户就可以访问网络上任何地方的资源,而无需担心资源所在的域。
不过,这些 Kerberos 信任仅适用于 Windows 2000 域。如果网络中包含较低版本(NT)的域,它们仍需使用旧的 NTLM 单向、明确的信任来与 Windows 2000 域共享资源。
需要注意的是,尽管 Windows 2000 网络中域之间存在可传递的信任关系,但管理权限不可传递,域仍然是管理边界。
1.1 捷径信任
由于上述过程需要多次转诊,因此捷径信任就显得很有用。捷径信任是双向可传递信任,可用于缩短复杂森林中的路径。管理员必须明确创建捷径信任,以在同一森林中的 Windows 2000 域之间建立直接的信任关系。捷径信任用于优化性能,并缩短 Window
