8、Windows 2000 服务器安全配置深度解析

Windows 2000 服务器安全配置深度解析

1. 域间 Kerberos 信任关系

在 NT 网络中，每个域都是孤立的。若一个域中的用户要访问另一个域的资源，两个域的管理员必须建立明确的信任关系，且这种信任是单向的。若要实现双向关系，则需创建两个单独的信任，因为这些信任基于 NTLM 安全协议，该协议不支持相互认证。

而在 Windows 2000 网络中，情况发生了改变。借助 Kerberos 协议，所有信任关系都是双向的，并且每个父域和子域之间存在隐式的自动信任，管理员无需手动创建。此外，这些信任是可传递的，即如果第一个域信任第二个域，第二个域信任第三个域，那么第一个域也会信任第三个域。这是通过 Kerberos 转诊实现的，结果是树中的每个域都隐式信任该树中的其他每个域。

森林中域树的根域之间也存在隐式的双向可传递信任关系。只要用户账户拥有适当的权限，用户就可以访问网络上任何地方的资源，而无需担心资源所在的域。

不过，这些 Kerberos 信任仅适用于 Windows 2000 域。如果网络中包含较低版本（NT）的域，它们仍需使用旧的 NTLM 单向、明确的信任来与 Windows 2000 域共享资源。

需要注意的是，尽管 Windows 2000 网络中域之间存在可传递的信任关系，但管理权限不可传递，域仍然是管理边界。

1.1 捷径信任

由于上述过程需要多次转诊，因此捷径信任就显得很有用。捷径信任是双向可传递信任，可用于缩短复杂森林中的路径。管理员必须明确创建捷径信任，以在同一森林中的 Windows 2000 域之间建立直接的信任关系。捷径信任用于优化性能，并缩短 Window