抗战推广员号活动目录的基本安全问题 抗战英雄传推广员号
介绍
旧的说法"网络就是系统"在Windows 2000分布式服务下变成一种现实。一个单个的登陆提供了到整抗战ol推广员个Windows 2000网络的应用及资源的访问。
最初,这可能是一种安全治理恶梦,但是假如Windows 2000正确应用的话,它能提供一个集中化的安全平台,带有许多加强的安全特性。Kerberos和PKI(公钥基础结构)提供了网络安全机会,MMC(微软治理抗战推广员控制台)和加强的组策略简单化了治理,提供了灵活的系统控制和应用访问。
假如你目前有一个NT4.0环境,有大量的服务器和域,升级到Windows 2000平台需要仔细地规划和实施。
树抗战ol推广员林和抗战英雄传推广员号域
活动目录是定位在Windows 2000安全子系统核心的目录服务,提供了治理网络资源的结构和功能。活动目录数据库包含了关于抗战推广员号码网络对象的信息,对象包括网络站点、域、服务器、工作站、打印机、组和用户。这些对象放置在有相关选定用户组的域中,这些域变成对象的治理和安全边界。治理的特权并不延伸到其它域,每一个抗战的推广员域有它自己对象的安全策略。每一个域也有对相邻域的安全策略。
树林由一个分级结构的域组成,这抗战英雄传推广员个结构开始的那个域叫作树林的根域,域在格式上与家族树相同,如子域、父域、祖父域等等。一个树林包含了一个或多个的树。
默认情况下,任何子域与父域都有一个双向信任的关系,它扩展到树林中的所有其它的战英雄传推广员号域,称为可传递信任。当一个域的验证授权验证一个用户或应用时,所有其它的域接受这个验证,因为它是一个抗战推广员双向信任的关系。在一个信任域里对资源的访问受到每一个域的访问控制的限制,一个域基本上是一个安全边界。
信任关系可以存在于一个Windows 2000域和一个基于Unix MIT的领域,对域中的资源提供网络访问。一个Windows 2000域控抗战推广员账号制器可抗战的推广员以验证一个基本UNIX MIT领域的客户去提供网络访问。
信任关系可以在使用高级服务器的康柏 VMS系统的域间建立,使用抗战英雄传推广员高级服务器的康柏 VMS系统也可以成为本地活动目录的一个成员服务器。
当活动目录被安装的时候,第一个创建的域抗战推广员帐号将成为树林的根域,在为树林域选择一个命名时应该仔细考虑,因为一旦命名它就不能改变。另外,在一个树林根域中所有域控制器的灾难损失事件中,你仅能从备份中恢复树林的抗战推广员根域。通过重新安装去恢复树林根域是不可能的。重新安装它意味着所有的树林将被清空重建。
企业治理组和规划治理组仅存在于树林的根域抗战推广员中,它们是对树林的核心的治理和安全组,具有无限制的权力。一旦树林被建立,访问将被限制。
备份活动目录也包括备份系统状态数抗战推广员帐号据文件。
系统状态数据文件包括:
·活动目录
·验证服务数据抗战英雄传推广员号库(假如有验证服务器)
·分级注册(关于组件服务的数据抗战推广员号码库信息)
·群集服务(假如安装)
·性能计数器配置
·注册表
·Sysvol目录(包含组策略模板和登陆脚本的共享文件夹)
·系统开始文件
系统状态数据备份可以执行常规备份,注重的是活动目录目前并不支持增量备份,仅可能从全备份中恢复。你不能从超过60天以上抗战英雄传推广员号的备份中恢复,因为这是一个墓碑生命时间,60天是域控制器保持跟踪删除对象的时间长度。
有两种类型的恢复,非授权和授抗战推广员帐号权。非授权是活动目录恢复到备份时的状态,在恢复后,目录执行战英雄传推广员号连续的检查和维护,然后从其它域控制器上更新活动目录和文件复制服务(FRS)。
在一个非授权恢复发生后,一个授权恢复可能执行。在一个域抗战游戏推广员中多个域控制器答应对数据库中标记为更新的特定信息进行授权恢复,在数据库中每一个对象用版本号来标记,有最高版本号的域控制器将更新数抗战ol推广员据库。这样答应活动恢复到一个已知的状态。
域控制器包含战英雄传推广员号用于域验证的用户私钥的拷贝,在域控制器抗战英雄传推广员的恢复后Syskey能用来重新创建私钥,Syskey是一种微软战英雄传推广员号加密工具,它抗战推广员使用128位随意Key,对所有私钥提供加密。这个Key可以保存在域控制器的注册表里或是软盘中,微软推荐为保证最大的安抗战推广员号码全性将它存在软盘中。
本机模式
当你安装活动目录创建第一个域时,活动目录运行在默认的混合模式,这答应对运行NT4.0或Windows 2000域控制器抗战推广员号码的支持,当你规划许可的时候,答应你升级域控制器到Windows 2000。
当运行在混合模式时,活动目录是限制了对NT4.0安全帐号治理(SAM)的限制,当运行在本机模式时,数百万的对象是可用的。
当树林中所有的域控制器运行Windows 2000时,你可以转换到抗战推广员帐号本机模式,成员服务器可以在NT4.0上,工作站可以在98、ME、NT4.0。本机模式答应组嵌套和全局安全组。然而,一旦你转换到了本机模式,将不能再转换回混合模式。
架构
所有对象和它们属性的活动目录数抗战英雄传推广员号据库,叫做架构,假如架构的默认特性不能满足你的组织的要求,你可以创建对象来满足要求。活动目录架构设计也定义了哪个对象和属性将被索引,什么将在活动目录抗战推广员全局编目下发布。
对象被组织成组称为容器,一个容器可以嵌套其它的容器。
架构在树林中所有域控制器间是分布式的,这答应在架构中关于对象和属性的信息对用户应用抗战英雄传推广员号是动态可用的,当改变可新的对象发生时它也是动态更新的。一个域控制器,叫作架构主机,将被指派在树林中控制所有的更新,在树林中只能有一个域控制器充当架构主机。
组织单元 (OU)
为治理的目的,对象可能放置在逻辑组中,一抗战推广员帐号个组织单元(OU)是一个容器对象,它将如组、用户帐号、计算机、打印机和其它OU这样的对象抗战推广员号码组织起来。
Objects can be placed into logical groupings for administrative purposes. An Organizational Unit (OU) is a container object which organizes objects, such as groups, user accounts, computers, printers, and other OUs.
当创建一个树林时,已存在的NT4.0的域的治理员仍可以在它们的环境下执行治理任务,当被限制为树林的其它时,通过在一个OU中降低治理控制对象来实现。
一抗战的推广员个OU能被指派到一个抗战的推广员服务器或一个工作站,这帮助安全一个高危险或暴露的机器。
全局编录
全局编录是一个信息的仓库,它包抗战online推广员含了在活动目录中所有对象连续请求信息的子集,例如一个用户登陆ID、姓和名,Exchange 2000在分布式列表,邮件地址等方面将利用全局编录。
编录所在的域服务器称为全局编录服务器,默认情况下在活动目录中创建的第一个域控制器抗战的推广员为全局编录服务器,其它的域服务器也可以指派作为全局抗战的推广员编录服务器来平衡网络流量。在树林根域控制中一个或更多的域控制器将始终为全局编录服务器。全局编录服务器的可用性对活动目录的作用是至关重要的。
轻量级目录访问协议 (LDAP)
轻量级目录访问协议(LDAP)是目抗战推广员录服务协议,它通常抗战推广员账号用来查询和更新活动目录。活动目录的每个对象都有一个基于LDAP闻名的命名习俗下的名字。LDAP提供对活动目录中的第一个对象的唯一命名路径。
活动目录是一个企业级的目录服务,通常被Windows 2000和Exchange 2000使用,因此,Exchange 2000使用LDAP查询最抗战推广员号码靠近的全局编录服务器去进行地址查找和信息路由。LDAP不是加密的,能被任何网络sniffing设备所看到,当利用全局编录服务器时,这是一个非常重要的安全考虑。
域抗战英雄传推广员号控制器和复制
一个Windows 2000网络仅有两种类型的服抗战推广员号码务器,域控制器和成员服务器,假如一个域控制器坏了,其它的域控制器继续提供网络服务和信息,因为所有的域控制抗战推广员帐号器都包含有一个活动目录的复制,这个通过活动目录中多主线目录复制组件来实现。域控制器之间互相复制,每一个服务器记录从其它服务器上接收到的更新,仅请求需要的更新去最小化网抗战推广员号码络流量。
成员服务器可以被提升为域控制器,域控制器也可以被降为成员服务器,在NT4.0下是不可能实现的除抗战online推广员非重新安装服务器抗战推广员号码,这个在平衡网络流量或域控制器丢失事件方面是非常有用抗战ol推广员的。
在Windows 2000下有一种情形存在,即当几个系统治理员同时在几个不同的域控制器上进行操作时,安全组信息可能丢失或被覆盖。这战英雄传推广员号是由于在域控制抗战游戏推广员器间复制的延迟,非凡是在远程域控制器上。
假如集中化治理被利用,如同微软指导手册建议抗战推广员的一样,这就不是一个问题,Windows 2000的下一个版本,即Windows 2002解决了这个情况。
域名称系统(DNS)
DNS和活动目录的结合是Windows 2000非常重要的特性。活动目录使用DNS命名标准为它抗战推广员号码的域和计算机分级命名。
DNS和活动目录使用相同的分级命名结构对域和计算机进行命名,因此,相同的分级战英雄传推广员号命名结构可以表现DNS结点和活动目录对象。
因此对DNS的两条命名规定,同样适用于活动抗战英雄传推广员号目录域的建立:
·相同父域的两个子域不能相同
·一个子域仅能有一个父域
假如你的组织有一个在Internet上有出现,那么你的树林根域的名称需要注册,例如SANS机构利用sans.com作为Internet上的DNS命名,同时sans.com也将是他们抗战的推广员的活动目录树林根域的名称。
活动目录需要DNS服务器支持SRV(服务资源记录),SRV记录域控制器到网络服务的映射,当一个域服务器引导起来,它注册有关服务的信息到DNS服务抗战英雄传推广员器。
Windows 2000使用SRV记录去定位:
·在特定域可树林中的域控制器
·同客户同一站点的域控制器
·全局编录服务器
·LDAP服务提抗战ol推广员供抗战游戏推广员商
·Kerberos V5服务
·共享打印抗战游戏推广员机或文件夹
客户需要至少一个DNS服务器去定位一个域服务器去日志进程,客户将联系DNS服务抗战推广员帐号器返回的所有域控制器,然后用第一个响应日志请求的域控制器进行登陆。
Windows 2000扩展
活动目录的能力扩展出仅治理一抗战游戏推广员个Windwos2000环境,ADSI(活动目录服务接口),先前已知的OLE目录服务,提供对多平台产品的治理。ADSI2.5提供NDS(Novell NetWare目录服务)、NWCOMPAT(NetWare 3装订)和LDAP的混合。对网络供给商而言,LDAP打开了利用公共治理平台的大门,Compaq's Advanced Server/Pathworks V7.4计划与Windows 2000协作,包括活动目录的抗战英雄传推广员号集成。
结论
活动目录是一个灵活和规模化的治理平台对分布式网络资源和应用程序,谨慎规划可以给用户提供一个透明的结构化的安全环境,粗略的抗战推广员帐号规划和应用可能导致一场灾难
相关文章
- 用Windows Vista隐藏命令监控系统可靠性
- 如何使得Qmail在NFS或者NIS有问题时延迟发送邮件
- 不可忽视的性骚扰后遗症
- Linux 指令篇:系统设置--liloconfig
- 不可忽视的性骚扰后遗症
- 如何使用软件来收Hotmail和Yahoo!Mail
- 不可忽视的性骚扰后遗症
- XFree864.x教程
- 不可忽视的性骚扰后遗症
- Big Endian and Little Endian
- 两种修改网卡物理地址的小秘技教程
- Squid代理设置
- 开源嵌入式数据库BerkeleyDB(2)
- 编译并安装新内核
- 如何做高水平的程序项目设计者
- 反垃圾邮件的几种技术
- 剖析网站遭遇的三次入侵分析黑客入侵方法
- 安全审核让入侵者无处遁形
- Xen:用于Linux?内核的虚拟化技术简介
- 我的系统分析员考试经历
相关说明
- 如果您发现该小说不能下载,请通知管理员
- 为了保证您快速安全的浏览本站,推荐使用FireFo火狐浏览器]等专业浏览器.
- 为确保所下小说能正常使用,请使用[WinRAR v3.5]或以上版本解压本站小说.
- 文本小说之家站内小说均由网上搜集,若无意中侵犯到您的权利,敬请来信联系我们.