|
在Windows網(wǎng)絡(luò)環(huán)境中,域是核心����。其實(shí)域的概念�,從NT時(shí)代就開(kāi)始提出�����,并不斷得到完善����。在2008的服務(wù)器環(huán)境中,可以說(shuō)已經(jīng)相當(dāng)?shù)耐昝�。可惜的是�����,不少系統(tǒng)管理員在設(shè)計(jì)域結(jié)構(gòu)時(shí)��,由于種種原因存在一些比較典型的誤區(qū)。筆者在這里做一些總結(jié)�����,希望各位讀者有者改之����、無(wú)則加勉�����。
誤區(qū)一:為不同的辦事處設(shè)置不同的域����。
如現(xiàn)在有一家企業(yè),其在上海����、廣州各有一個(gè)辦事處,其本部在北京����。在這種情形下,需要為上海和廣州各設(shè)一個(gè)域嗎���?以前有不少系統(tǒng)設(shè)計(jì)師是這么做的��。其實(shí)沒(méi)有這個(gè)必要�����。特別是微軟在2008中提出了只讀域控制器之后��,沒(méi)有必要為一些辦事處設(shè)置單獨(dú)的域��。否則的話(huà)��,只會(huì)額外的增加系統(tǒng)管理人員的工作量��。
其實(shí)域是微軟網(wǎng)絡(luò)環(huán)境的一個(gè)初始的邏輯邊界或者說(shuō)最小的邏輯邊界�。系統(tǒng)工程師均從域的邊界內(nèi)管理和存儲(chǔ)用戶(hù)和計(jì)算機(jī)。包括打印機(jī)�����、用戶(hù)的帳號(hào)信息���、權(quán)限等內(nèi)容��。從安全的角度講�,域同時(shí)還充當(dāng)對(duì)象的管理安全性邊界,并會(huì)包含它們自己的安全策略���。簡(jiǎn)單的說(shuō)�����,就是指域是對(duì)象的邏輯結(jié)構(gòu)����,并且可以方便的跨越多個(gè)物理位置���。這就說(shuō)明在設(shè)計(jì)域結(jié)構(gòu)時(shí)時(shí),物理位置并不是主要因素(當(dāng)然有時(shí)候也需要考慮)�����,其主要還是要看企業(yè)應(yīng)用環(huán)境的邏輯結(jié)構(gòu)�����。
所以在實(shí)際工作中���,并不需要為不同地理位置的辦事處設(shè)置多個(gè)單獨(dú)的域���。這種老命傷財(cái)?shù)男袨槲覀円M量的避免����。在2008應(yīng)用環(huán)境中���,系統(tǒng)管理員盡可以利用只讀域控制器來(lái)解決辦事處或者分支機(jī)構(gòu)的安全問(wèn)題�����。
筆者認(rèn)為��,如果企業(yè)的分支機(jī)構(gòu)或者辦事處規(guī)模不大���,如只有幾十人,那么沒(méi)有必要為其單獨(dú)的設(shè)置一個(gè)域�����。相反如果企業(yè)的分支機(jī)構(gòu)是一個(gè)單獨(dú)的法人��,或者其規(guī)模有上百人���,此時(shí)企業(yè)往往需要在這個(gè)分支機(jī)構(gòu)配有專(zhuān)業(yè)的系統(tǒng)管理人員�����。此時(shí)出于管理靈活性的考慮����,可以為這個(gè)分支機(jī)構(gòu)設(shè)置單獨(dú)的域��?傊�,不管三七二十一,由于地理位置的原因��,為辦事處設(shè)置單獨(dú)的域����,這種做法是不合理的�����。
誤區(qū)二:將信任傳遞與訪(fǎng)問(wèn)權(quán)限混為一談���。
多個(gè)域構(gòu)成一顆域樹(shù)����。或者說(shuō)域樹(shù)是由多個(gè)通過(guò)雙向可傳遞的信任連接的域構(gòu)成的���。在這個(gè)定義中��,有一個(gè)核心的關(guān)鍵字叫做信任的雙向可傳遞�。如現(xiàn)在有一顆域數(shù)��,A.com是信任根域����,B.A.COM和C.A.COM是其兩個(gè)平行的子域。現(xiàn)在根據(jù)雙向可傳遞的信任規(guī)則���,A域如果信任B��,那么B域也相信A域��。C域如果相信A域���,那么A域也信任B域。而根據(jù)傳遞規(guī)則��,B信任A��,而A信任C,則B域也信任C域�。
現(xiàn)在筆者要問(wèn)的問(wèn)題時(shí),如果現(xiàn)在A(yíng)域的管理員可以管理B域與C域�,那么是否說(shuō)明B域的管理員也可以管理C域呢?因?yàn)锽相信A���,而A相信C��,為此B可以管理C����?其實(shí)這里就犯了一個(gè)概念性的錯(cuò)誤�。將信任與訪(fǎng)問(wèn)的權(quán)限混為一談。這就好像你有一個(gè)朋友�,非常的信任他。但是不等于他可以來(lái)管理你的家事���。
為此系統(tǒng)管理員需要牢記�����,雖然在域樹(shù)環(huán)境中,信任是雙向的�,并且是可以傳遞的���。但是這并不意味著所有用戶(hù)都可以完全的獲得訪(fǎng)問(wèn)權(quán)。即便是域之間的管理員�����,信任僅僅提供從一個(gè)域到另外一個(gè)于的一條路徑�������;蛘哒f(shuō)��,信任是可以管理的一個(gè)前提條件����。只有在信任的基礎(chǔ)之上,才能夠?qū)ζ溥M(jìn)行授權(quán)管理����。而在默認(rèn)情況下,系統(tǒng)并不允許訪(fǎng)問(wèn)權(quán)限從一個(gè)域傳遞到另外一個(gè)域�����。域的管理員必須為另一個(gè)域的用戶(hù)或者管理員下發(fā)權(quán)限后才能夠訪(fǎng)問(wèn)其域中的資源。
不過(guò)需要注意的是���,域樹(shù)中的每一個(gè)域都共享一個(gè)公共的模式和全局目錄�����。一顆樹(shù)內(nèi)的所有域共享相同的名稱(chēng)空間����。根據(jù)默認(rèn)的安全機(jī)制�,某個(gè)子域的管理員在其整個(gè)域上有相對(duì)的控制權(quán)。另外一個(gè)子域甚至根域如果沒(méi)有經(jīng)過(guò)授權(quán)�,是無(wú)法訪(fǎng)問(wèn)其域中的資源。從這里也可以看出�����,不信任與訪(fǎng)問(wèn)權(quán)根本是兩碼事�。當(dāng)然在有信任的基礎(chǔ)之上,系統(tǒng)管理員可以根據(jù)需要����,授予其他域或者根域用戶(hù)一定的權(quán)限�,讓其能夠有這個(gè)權(quán)力訪(fǎng)問(wèn)自己域的特定資源����。
總之����,系統(tǒng)管理員需要分清楚信任與訪(fǎng)問(wèn)權(quán)之間的聯(lián)系與區(qū)別,不能夠?qū)烧呋鞛橐徽�。然后在這基礎(chǔ)之上,考慮是否需要為其他域的用戶(hù)設(shè)置合適的訪(fǎng)問(wèn)權(quán)限��。
誤區(qū)三:采用默認(rèn)的域認(rèn)證模式�����。
在2008網(wǎng)絡(luò)環(huán)境中�����,其支持兩種默認(rèn)的域認(rèn)證模式����,分別為NTLM和Kerberos認(rèn)證方式。NTLM是NT局域網(wǎng)管理器的簡(jiǎn)稱(chēng)�。從這個(gè)名字就可以看出,其沿用的是微軟早期NT網(wǎng)絡(luò)環(huán)境的認(rèn)證系統(tǒng)。這種認(rèn)證方是采用散列的形式跨網(wǎng)絡(luò)哦傳遞加密的口令�。雖然對(duì)網(wǎng)絡(luò)中傳輸?shù)拿畈扇×思用艿拇胧侨匀淮嬖谝欢ǖ陌踩[患�����。如任何人都可以監(jiān)視網(wǎng)絡(luò)中傳遞的散列信息���、并收集這些信息然后再使用第三方的解密工具進(jìn)行破解�����。其破解的難度就要看加密的復(fù)雜程度�����。通產(chǎn)情況下���,攻擊者可以利用字典或者蠻力攻擊技術(shù)在破譯口令,其破解只是一個(gè)時(shí)間問(wèn)題���。
而Kerberos認(rèn)證方法則不同��。簡(jiǎn)單的說(shuō)�,這種認(rèn)證方法并不會(huì)在網(wǎng)絡(luò)上發(fā)送口令信息,并且其本身采用的加密措施要比NT局域網(wǎng)絡(luò)認(rèn)證系統(tǒng)要安全�����。不過(guò)可惜的是����,出于向前兼容的考慮��,即使到了2008環(huán)境中��,微軟還是默認(rèn)采用了相對(duì)不安全的NTLM認(rèn)證方式�。有些系統(tǒng)管理員在這方面可能并不是很熟悉,在一些對(duì)應(yīng)用安全要求比較高的場(chǎng)合之下��,采用了這個(gè)默認(rèn)的安全機(jī)制���,引發(fā)了不少的安全事件�。
筆者建議�,系統(tǒng)管理員需要了解這兩種認(rèn)證模式的差異。然后根據(jù)企業(yè)的實(shí)際情況���,如果對(duì)于安全級(jí)別要求比較高�����,那么就需要對(duì)所采取的認(rèn)證模式進(jìn)行切換�����,選擇更加安全的Kerberos認(rèn)證方式��。
誤區(qū)四:混淆功能級(jí)別無(wú)法發(fā)揮最大的效能���。
在Windows2008服務(wù)器環(huán)境中���,與2003一樣,也采取了功能級(jí)別的設(shè)計(jì)���。采取功能級(jí)別���,主要是為了確保與傳統(tǒng)域版本向后的兼容性。在新的網(wǎng)絡(luò)環(huán)境中��,2008也有它自己的功能級(jí)別以用來(lái)維護(hù)兼容性��。
現(xiàn)在2008支持如下幾種功能級(jí)別���。2000本地功能級(jí)別(允許控制器采用2008�、2003和2000SP3的版本,注意如果是2000的域控制器��,要打上SP3的補(bǔ)丁)�、2003功能級(jí)別(允許2003和2008的域控制器共存,并將額外的功能添加到森林中包括可傳遞信任能力)����、2008功能級(jí)別(所有的域控制器所采用的服務(wù)器版本必須為2008)���?梢(jiàn)這個(gè)功能級(jí)別,主要是針對(duì)域控制器而言��,而跟其他的服務(wù)器或者客戶(hù)端的版本無(wú)關(guān)���。在默認(rèn)情況下�����,服務(wù)器采用的是一種降級(jí)模式的兼容性來(lái)執(zhí)行操作的�����。
如果采用比較低的功能級(jí)別�,將無(wú)法使用2008所帶來(lái)的全新功能。如采用的是2003的功能級(jí)別�,將無(wú)法采用精細(xì)粒度的口令策略,而無(wú)法完全實(shí)現(xiàn)域DS的能力�。可見(jiàn)�����,不同的功能級(jí)別其實(shí)限制了系統(tǒng)管理員可以采用哪些功能�����。為此在域設(shè)計(jì)時(shí)�����,系統(tǒng)分析師需要先確認(rèn)2008的新功能��,并確認(rèn)這些新功能至少需要在那個(gè)級(jí)別上運(yùn)行��。然后根據(jù)企業(yè)的實(shí)際情況��,判斷自己是否需要使用這些功能�。最終確定所需要采用的功能級(jí)別���。而不是先介紹使用某個(gè)功能級(jí)別,再來(lái)考慮不能夠使用哪些功能����。如此的話(huà),就本末倒置了��。
本文出自:億恩科技【www.xuefeilisp.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)�����!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商�!15年品質(zhì)保障���!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
