为了向后兼容性,在 Windows 2000 中,信任关系通过使用 Kerberos V5 协议及 NTLM 身份验证(描述如下)支持跨域的身份验证。这一点很重要,因为许多组织的基于 Windows NT 的企业域模型非常复杂,具有多个主域和许多资源域,而这些组织发现管理资源域和其主帐户域间的信任关系既花费成本又非常复杂。因为基于 Windows 2000 的域目录树支持传递信任目录树,它简化了较大型组织的网络域集成及管理。不过请注意,对于 ACL 不同意授予某些权限的人,传递信任不会自动将这些权限指派给他(或她)。传递信任让管理员更容易定义和配置访问权限。
使用组策略管理安全性
组策略设置是配置设置,管理者可用此设置来控制 Actove Directory 中对象的各种行为。“组策略”是 Active Directory 一项显著的功能,它让您以相同的方式将所有类型的策略应用到众多计算机上。例如,可以使用“组策略”来 配置安全性选项,管理应用程序,管理桌面外观,指派脚本,以及将文件夹从本地计算机重新定向到网络位置。系统将“组策略”设置在计算机激活时应用于计算机,在用户登录时应用于用户。
可以将“组策略”配置设置与三个 Active Directory 容器相关联:组织单元 (OU)、域或站点。与给定的容器相关的“组策略”设置不是影响该容器中所有的用户或计算机,就是影响该容器中特定的对象集合。
就像用户帐户一样,Windows 2000 计算机帐户提供一种方法来进行身份验证以及审核计算机对网络的访问权限以及对域资源的访问权限。每一台您想要授予访问资源权限的基于 Windows 2000 计算机都必须有一个唯一的计算机帐户。
注意 运行 Windows 98 和 Windows 95 的计算机没有那些运行 Windows 2000 和 Windows NT 的计算机所拥有的高级安全功能,并且在基于 Windows 2000 的域中不能被指派计算机帐户。不过,您可以登录网络并在 Active Directory 域中使用基于 Windows 98 和 Windows 95 的计算机。
Windows 2000 支持多重身份验证机制以供用户在进入网络时证明自己的身份。在使用 Extranet 和电子商务应用程序来延伸您的网络到公司外的用户时,这个机制就非常重要。
当用户进入网络时,用户必须提供身份验证信息以便安全系统身份验证其身份,之后再决定要允许该用户以什么权限(如果有的话)访问网络资源。Kerberos 身份验证协议(描述如下)用来验证您公司中的 Windows 2000 用户的身份。当将系统延伸到合作伙伴、供货商和 Internet 上的客户时,您必须支持多种方法让您公司以外的用户证明他们的身份。
