解析Windows2008域環(huán)境設(shè)計中的四大典型誤區(qū)

　　誤區(qū)一：為不同的辦事處設(shè)置不同的域。

　　如現(xiàn)在有一家企業(yè)，其在上海、廣州各有一個辦事處，其本部在北京。在這種情形下，需要為上海和廣州各設(shè)一個域嗎？以前有不少系統(tǒng)設(shè)計師是這么做的。其實沒有這個必要。特別是微軟在2008中提出了只讀域控制器之后，沒有必要為一些辦事處設(shè)置單獨(dú)的域。否則的話，只會額外的增加系統(tǒng)管理人員的工作量。

　　其實域是微軟網(wǎng)絡(luò)環(huán)境的一個初始的邏輯邊界或者說最小的邏輯邊界。系統(tǒng)工程師均從域的邊界內(nèi)管理和存儲用戶和計算機(jī)。包括打印機(jī)、用戶的帳號信息、權(quán)限等內(nèi)容。從安全的角度講，域同時還充當(dāng)對象的管理安全性邊界，并會包含它們自己的安全策略。簡單的說，就是指域是對象的邏輯結(jié)構(gòu)，并且可以方便的跨越多個物理位置。這就說明在設(shè)計域結(jié)構(gòu)時時，物理位置并不是主要因素(當(dāng)然有時候也需要考慮)，其主要還是要看企業(yè)應(yīng)用環(huán)境的邏輯結(jié)構(gòu)。

　　所以在實際工作中，并不需要為不同地理位置的辦事處設(shè)置多個單獨(dú)的域。這種老命傷財?shù)男袨槲覀円�盡量的避免。在2008應(yīng)用環(huán)境中，系統(tǒng)管理員盡可以利用只讀域控制器來解決辦事處或者分支機(jī)構(gòu)的安全問題。

　　筆者認(rèn)為，如果企業(yè)的分支機(jī)構(gòu)或者辦事處規(guī)模不大，如只有幾十人，那么沒有必要為其單獨(dú)的設(shè)置一個域。相反如果企業(yè)的分支機(jī)構(gòu)是一個單獨(dú)的法人，或者其規(guī)模有上百人，此時企業(yè)往往需要在這個分支機(jī)構(gòu)配有專業(yè)的系統(tǒng)管理人員。此時出于管理靈活性的考慮，可以為這個分支機(jī)構(gòu)設(shè)置單獨(dú)的域�？傊�，不管三七二十一，由于地理位置的原因，為辦事處設(shè)置單獨(dú)的域，這種做法是不合理的。

　　誤區(qū)二：將信任傳遞與訪問權(quán)限混為一談。

　　多個域構(gòu)成一顆域樹�；蛘哒f域樹是由多個通過雙向可傳遞的信任連接的域構(gòu)成的。在這個定義中，有一個核心的關(guān)鍵字叫做信任的雙向可傳遞。如現(xiàn)在有一顆域數(shù)，A.com是信任根域，B.A.COM和C.A.COM是其兩個平行的子域�，F(xiàn)在根據(jù)雙向可傳遞的信任規(guī)則，A域如果信任B，那么B域也相信A域。C域如果相信A域，那么A域也信任B域。而根據(jù)傳遞規(guī)則，B信任A，而A信任C，則B域也信任C域。

　　現(xiàn)在筆者要問的問題時，如果現(xiàn)在A域的管理員可以管理B域與C域，那么是否說明B域的管理員也可以管理C域呢？因為B相信A，而A相信C，為此B可以管理C？其實這里就犯了一個概念性的錯誤。將信任與訪問的權(quán)限混為一談。這就好像你有一個朋友，非常的信任他。但是不等于他可以來管理你的家事。

　　為此系統(tǒng)管理員需要牢記，雖然在域樹環(huán)境中，信任是雙向的，并且是可以傳遞的。但是這并不意味著所有用戶都可以完全的獲得訪問權(quán)。即便是域之間的管理員，信任僅僅提供從一個域到另外一個于的一條路徑。或者說，信任是可以管理的一個前提條件。只有在信任的基礎(chǔ)之上，才能夠?qū)ζ溥M(jìn)行授權(quán)管理。而在默認(rèn)情況下，系統(tǒng)并不允許訪問權(quán)限從一個域傳遞到另外一個域。域的管理員必須為另一個域的用戶或者管理員下發(fā)權(quán)限后才能夠訪問其域中的資源。

　　不過需要注意的是，域樹中的每一個域都共享一個公共的模式和全局目錄。一顆樹內(nèi)的所有域共享相同的名稱空間。根據(jù)默認(rèn)的安全機(jī)制，某個子域的管理員在其整個域上有相對的控制權(quán)。另外一個子域甚至根域如果沒有經(jīng)過授權(quán)，是無法訪問其域中的資源。從這里也可以看出，不信任與訪問權(quán)根本是兩碼事。當(dāng)然在有信任的基礎(chǔ)之上，系統(tǒng)管理員可以根據(jù)需要，授予其他域或者根域用戶一定的權(quán)限，讓其能夠有這個權(quán)力訪問自己域的特定資源。

　　總之，系統(tǒng)管理員需要分清楚信任與訪問權(quán)之間的聯(lián)系與區(qū)別，不能夠?qū)�兩者混為一談。然后在這基礎(chǔ)之上，考慮是否需要為其他域的用戶設(shè)置合適的訪問權(quán)限。

　　誤區(qū)三：采用默認(rèn)的域認(rèn)證模式。

　　在2008網(wǎng)絡(luò)環(huán)境中，其支持兩種默認(rèn)的域認(rèn)證模式，分別為NTLM和Kerberos認(rèn)證方式。NTLM是NT局域網(wǎng)管理器的簡稱。從這個名字就可以看出，其沿用的是微軟早期NT網(wǎng)絡(luò)環(huán)境的認(rèn)證系統(tǒng)。這種認(rèn)證方是采用散列的形式跨網(wǎng)絡(luò)哦傳遞加密的口令。雖然對網(wǎng)絡(luò)中傳輸?shù)拿�令采取了加密的措施，但是仍然存在一定的安全隱患。如任何人都可以監(jiān)視網(wǎng)絡(luò)中傳遞的散列信息、并收集這些信息然后再使用第三方的解密工具進(jìn)行破解。其破解的難度就要看加密的復(fù)雜程度。通產(chǎn)情況下，攻擊者可以利用字典或者蠻力攻擊技術(shù)在破譯口令，其破解只是一個時間問題。

　　而Kerberos認(rèn)證方法則不同。簡單的說，這種認(rèn)證方法并不會在網(wǎng)絡(luò)上發(fā)送口令信息，并且其本身采用的加密措施要比NT局域網(wǎng)絡(luò)認(rèn)證系統(tǒng)要安全。不過可惜的是，出于向前兼容的考慮，即使到了2008環(huán)境中，微軟還是默認(rèn)采用了相對不安全的NTLM認(rèn)證方式。有些系統(tǒng)管理員在這方面可能并不是很熟悉，在一些對應(yīng)用安全要求比較高的場合之下，采用了這個默認(rèn)的安全機(jī)制，引發(fā)了不少的安全事件。

　　筆者建議，系統(tǒng)管理員需要了解這兩種認(rèn)證模式的差異。然后根據(jù)企業(yè)的實際情況，如果對于安全級別要求比較高，那么就需要對所采取的認(rèn)證模式進(jìn)行切換，選擇更加安全的Kerberos認(rèn)證方式。

　　誤區(qū)四：混淆功能級別無法發(fā)揮最大的效能。

　　在Windows2008服務(wù)器環(huán)境中，與2003一樣，也采取了功能級別的設(shè)計。采取功能級別，主要是為了確保與傳統(tǒng)域版本向后的兼容性。在新的網(wǎng)絡(luò)環(huán)境中，2008也有它自己的功能級別以用來維護(hù)兼容性。

　　現(xiàn)在2008支持如下幾種功能級別。2000本地功能級別(允許控制器采用2008、2003和2000SP3的版本，注意如果是2000的域控制器，要打上SP3的補(bǔ)丁)、2003功能級別(允許2003和2008的域控制器共存，并將額外的功能添加到森林中包括可傳遞信任能力)、2008功能級別(所有的域控制器所采用的服務(wù)器版本必須為2008)。可見這個功能級別，主要是針對域控制器而言，而跟其他的服務(wù)器或者客戶端的版本無關(guān)。在默認(rèn)情況下，服務(wù)器采用的是一種降級模式的兼容性來執(zhí)行操作的。

　　如果采用比較低的功能級別，將無法使用2008所帶來的全新功能。如采用的是2003的功能級別，將無法采用精細(xì)粒度的口令策略，而無法完全實現(xiàn)域DS的能力�？梢�，不同的功能級別其實限制了系統(tǒng)管理員可以采用哪些功能。為此在域設(shè)計時，系統(tǒng)分析師需要先確認(rèn)2008的新功能，并確認(rèn)這些新功能至少需要在那個級別上運(yùn)行。然后根據(jù)企業(yè)的實際情況，判斷自己是否需要使用這些功能。最終確定所需要采用的功能級別。而不是先介紹使用某個功能級別，再來考慮不能夠使用哪些功能。如此的話，就本末倒置了。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]