林和域信任.docx

1、林和域信任林信任在 WindowsServer2003 林中，您可以将两个断开连接的 WindowsServer2003 林链接起来建立单向或双向可传递信任关系。双向林信任用于在两个林中的每个域之间建立可传递的信任关系。林信任提供了下列好处： 通过减少共享资源所需的外部信任数，简化了横跨两个 WindowsServer2003 林的资源的管理。 每个林中每个域之间的完全的双向信任关系。 使用跨越两个林的用户主体名称 (UPN) 身份验证。 使用 Kerberos V5 和 NTLM 身份验证协议，提高了林之间传递的授权数据的可信赖度。 灵活的管理。每个林的管理任务可以是唯一的。林信任只能在两个

2、林之间创建，不能隐式扩展到第三个林。这意味着如果在林1 和林2 之间创建了一个林信任，在林2 和林3 之间也创建了一个林信任，则林1 和林3 之间没有隐式信任关系。有关林信任所需要求的详细信息，请参阅何时创建林信任。注意： 在 Windows 2000 林中，如果一个林中的用户需要访问另一个林中的资源，管理员可在两个域之间创建外部信任关系。外部信任可以是单向或双向的非传递信任，因此限制了信任路径扩展到其他域的能力。有关外部信任的详细信息，请参阅信任类型。 WindowsServer2003 ActiveDirectory 中的所有信任在一定程度上都使用安全标识符 (SID) 筛选。默认情况下，

3、外部信任被隔离，阻止除被隔离的受信任域之外的任何其他域 SID 遍历信任关系。SID 筛选用于防止可能试图将提升的用户权限授予其他用户帐户的恶意用户的攻击。林信任上的 SID 筛选不会阻止使用 SID 历史记录迁移到同一林中的域，而且也不会影响通用组访问控制策略。有关 SID 筛选的详细信息，请参阅何时创建外部信任。管理多林环境通过提供跨越多个林访问资源和其他对象的支持，林信任可帮助您管理单位内分段的 Active Directory 结构。有关跨越多个林访问资源的详细信息，请参阅跨林访问资源。因为每个林都是单独管理的，所以在单位中添加其他林就增加了单位的管理需要。有关详细信息，请参阅新建林。

4、在单位中创建多个林的原因有： 保护每个林中的数据。保护敏感数据，使得只有林内的用户才能访问。 使每个林中的目录复制独立起来。架构更改、配置更改，以及在林中添加新域只会在该林范围内产生影响，而不会对信任林产生影响。委派林范围的管理控制存储在架构和配置容器中的 Active Directory 数据将复制到林中的每个域控制器。由于对架构和配置容器的更改将影响林中所有的域，因此对于林范围的管理控制，应当由受过高级培训或经验丰富的管理员来执行。林根域中包含的所有域数据也应当视为高度敏感的数据。下列各组在每个林中提供了林范围的管理控制： Enterprise Admins Domain Admins（在

5、林根域中） Schema Admins由于以上任何组中的成员身份都会影响林范围的行为，因此在添加用户时要特别谨慎。作为安全性的最佳操作，应避免从另一个林向以上任何林范围的管理组添加用户。有关这些组的详细信息，请参阅默认组。跨林同步数据可以使用 Microsoft Metadirectory Services (MMS) 或另一种支持的同步工具跨林同步全局地址列表 (GAL) 和对象。需要跨林同步的通用数据类型包括： GAL (Exchange) 公用文件夹 目录对象跨林同步此数据可帮助最终用户查看地址列表和其他数据，其方式与在自己的林中查看信息的方式相同。何时创建林信任只能在一个 Window

6、sServer2003 林中的林根域和另一个 WindowsServer2003 林中的林根域之间创建林信任。在两个 WindowsServer2003 林之间创建林信任可为任一林内的各个域之间提供一种单向或双向的可传递信任关系。林信任适用于应用程序服务提供商、正在经历合并或收购的公司、合作企业 Extranet，以及寻求管理自治解决方案的公司。Note不能对林信任启用 SID 筛选器隔离，即使用netdom命令以及/quarantine:yes选项。但是，如果已将用户从一个 WindowsServer2003 林迁移到另一个 WindowsServer2003 林，并且迁移的用户需要访问前一

7、个域中的资源，则您可以通过使用netdom命令以及/enablesidhistory:yes选项来放宽应用到林的默认 SID 筛选。对林信任使用该命令可降低林信任上的 SID 筛选级别。因此，请确保您信任受信任域的管理员及其安全操作。使用单向林信任两个林之间的单向林信任允许受信任林的成员使用信任林中的资源。但是，此信任只是单向的。例如，当在 A 林（受信任林）和 B 林（信任林）之间创建单向林信任时，A 林的成员可以访问 B 林中的资源，但 B 林的成员不能使用同一个信任访问 A 林中的资源。使用双向林信任两个林之间的双向林信任允许任一个林的成员使用另一个林中的资源；每个林中的域隐式信任另一个

8、林中的域。例如，当 A 林和 B 林之间建立双向林信任时，A 林的成员可以访问 B 林中的资源，B 林的成员也可以使用同一个信任访问 A 林中的资源.信任类型域和域之间的通讯是通过信任发生的。信任是为了使一个域中的用户访问另一个域中的资源而必须存在的身份验证管道。使用“Active Directory 安装向导”时，将会创建两个默认信任。使用“新建信任向导”或 Netdom 命令行工具可创建另外四种类型的信任。默认信任默认情况下，当使用“Active Directory 安装向导”在域树或林根域中添加新域时，系统会自动创建双向的可传递信任。下表中定义了两种默认信任类型。信任类型传递性方向描述父

9、子可传递双向默认情况下，当现有域树中添加新的子域时，将建立一个新的父子信任。来自从属域的身份验证请求将通过其父项向上传递到信任域中。有关新建子域的信息，请参阅新建子域。树根可传递双向默认情况下，当现有林中创建新的域树时，将建立一个新的树根信任。有关新建域树的信息，请参阅新建域树。其他信任使用“新建信任向导”或 Netdom 命令行工具可创建另外四种类型的信任：外部、领域、林和快捷信任。下表中定义了这些信任。信任类型传递性方向描述外部不可传递单向或双向使用外部信任可访问 WindowsNT 4.0 域中的资源，或单独（未经林信任连接）的林内某个域中的资源。详细信息，请参阅何时创建外部信任。领域可

10、传递或不可传递单向或双向使用领域信任可建立非 Windows Kerberos 领域和 Windows Server2003 域之间的信任关系。详细信息，请参阅何时创建领域信任。林可传递单向或双向使用林信任可在各个林之间共享资源。如果林信任是双向信任，则任一个林中的身份验证请求都可以到达另一个林。详细信息，请参阅何时创建林信任。快捷可传递单向或双向使用快捷信任可改善 Windows Server2003 林内的两个域之间的用户登录时间。当两个域被两个域树分隔开时，这是很有用的。详细信息，请参阅何时创建快捷信任。在创建外部信任、快捷信任、领域信任或林信任时，可以选择单独创建信任的每一方或同时创建

11、信任的双方。如果选择单独创建信任的每一方，则需要运行两次“新建信任向导”，为每个域运行一次。当使用此方法创建信任时，需要为每个域提供相同的信任密码。作为最佳的安全操作，所有信任密码都应是强密码。详细信息，请参阅强密码。如果选择同时创建信任的双方，则需要运行一次“新建信任向导”。当选择该选项时，系统将自动为您生成强信任密码。您需要对在其间创建信任的每个域拥有适当的管理凭据。创建外部信任使用 Windows 界面1. 打开“Active Directory 域和信任关系”。2. 在控制台树中，右键单击要为其建立信任的域的域节点，然后单击“属性”。3. 单击“信任”选项卡上的“新建信任”，然后单击“

12、下一步”。4. 在“信任名称”页上，键入域的 DNS 名称（或 NetBIOS 名称），然后单击“下一步”。5. 在“信任类型”页上，单击“外部信任”，然后单击“下一步”。6. 在“信任方向”页上，执行下列操作之一： 要创建双向外部信任，请单击“双向”。该域中的用户和指定域中的用户都可以访问任一域中的资源。 要创建单向的内向外部信任，请单击“单向：内传”。指定域中的用户将无法访问该域中的任何资源。 要创建单向的外向外部信任，请单击“单向：外传”。何时创建外部信任您可以创建外部信任，以便与林外的域形成单向或双向的非传递信任。当用户需要访问 WindowsNT4.0 域中的资源时，或者需要访问位于

13、单独的林（未由林信任加入）内某个域中的资源时（如图所示），有时必需外部信任。在特定林的域和该林外的域之间建立信任关系后，来自外部域的安全主体可访问该内部域中的资源。Active Directory 在内部域中创建外部安全主体对象，用以表示信任的外部域中的每个安全主体。这些外部安全主体可成为内部域中域本地组的成员。本地域组可以有来自该林外的域的成员。由 Active Directory 创建外部安全主体的目录对象不应该手动修改。您可以通过启用高级功能查看 Active Directory 用户和计算机中的外部安全主体对象。在功能级别设置为 Windows 2000 混合模式的域中，建议从运行 W

14、indowsServer2003 的域控制器中删除外部信任。针对 WindowsNT4.0 或 3.51 域的外部信任可由运行 WindowsNT4.0 或 3.51 的域控制器上的授权管理员删除。但是，只有此关系的受信任方才能在运行 Windows NT 4.0 或 3.51 的域控制器上删除。此关系的信任方（在 WindowsServer2003 域中创建）不会被删除，并且即使它不可运行，此信任仍将显示在 Active Directory 域和信任关系中。要完全删除此信任，您需要从信任域的 Windows Server 2003 域控制器中删除此信任。如果不小心从运行 WindowsNT4

15、.0 或 3.51 的域控制器中删除了外部信任，则您需要从信任域中运行 WindowsServer2003 的任何域控制器中重新创建此信任。有关创建外部信任的详细信息，请参阅创建外部信任。保护外部信任的安全要提高 Active Directory 林的安全性，默认情况下，运行 WindowsServer2003 和 Windows2000 Service Pack4（或更高版本）的域控制器会对所有新的传出外部信任启用安全标识符 (SID) 筛选隔离。通过对传出外部信任应用 SID 筛选隔离，您可以防止在受信任域中具有域管理员级别访问权限的恶意用户将已提升的信任域用户权限授予自身或其域中的其他用

16、户帐户。当恶意用户能够将XX的用户权限授予其他用户时，这也称为“提升特权”攻击。有关 SID 筛选以及如何进一步缓解特权提升攻击的详细信息，请参阅 MS02-001：伪造的 SID 可能导致 Windows2000 中出现提升特权攻击 (SID 筛选隔离如何工作在域中创建安全主体时，该域 SID 将包含于该安全主体的 SID 中，以标识在其中创建它的域。域 SID 是安全原则的重要特征，因为 Windows 安全子系统使用它来验证安全原则的真实性。以类似方式，从信任域创建的传出外部信任使用 SID 筛选隔离来验证来自受信任域中的安全主体创建的传入身份验证请求是否仅包含受信任域中的安全主体的 S

17、ID。这通过将传入安全原则的 SID 和受信任域的域 SID 进行比较完成的。如果任何安全原则 SID 包含域 SID 而不是受信任域的 SID，则信任将删除有问题的 SID。SID 筛选确保对受信任的林中安全主体上的 SID 历史记录属性（包括 inetOrgPerson）的任何误用都不会威胁到信任林的完整性。当域管理员将用户和组帐户从一个域迁移到另一个域时，SID 历史记录属性可能对他们非常有用。域管理员可以将旧用户或组帐户的 SID 添加到新的、已迁移帐户的 SID 历史记录属性。通过执行此操作，域管理员将授予新帐户与旧帐户相同级别的资源访问权限。如果域管理员无法通过此方式使用 SID

18、历史记录属性，则他们必须跟踪并为新帐户重新应用对每个网络资源（旧帐户可以访问这些资源）的权限。了解威胁如果对于传出外部信任未使用 SID 筛选，那么受信任域中具有管理凭据的恶意用户就可能会探测来自信任域的网络身份验证请求，从而获取对信任域中的资源具有完全访问权限的用户（例如域管理员）的 SID 信息。获取来自信任域的域管理员 SID 之后，具有管理凭据的恶意用户可以将该 SID 添加到受信任域中用户帐户的 SID 历史记录属性中，并尝试获取对信任域及其中资源的完全访问权限。在这种情况下，具有受信任域中域管理员凭据的恶意用户将对整个信任域造成威胁。SID 筛选可以缓解受信任域中的恶意用户通过使用

19、 SID 历史记录属性获取提升特权的威胁。SID 筛选隔离的影响外部信任上的 SID 筛选隔离可能会在下列两个方面影响现有的 Active Directory 基础结构： 包含任何域而不是受信任域 SID 的 SID 历史数据将从受信任域中生成的身份验证请求中删除。这将导致对具有用户旧 SID 的资源的访问被拒绝。 林间的通用组访问控制策略需要更改。当 SID 筛选隔离启用后，使用 SID 历史数据来对信任域中的资源进行授权的用户将不再对这些资源具有访问权限。如果您通常会将受信任林的通用组分配给信任域中共享资源的访问控制列表 (ACL)，则 SID 筛选隔离将会对访问控制策略造成重大影响。因为

20、通用组必须坚持使用与其他安全主体对象相同的 SID 筛选隔离原则（即通用组对象 SID 必须还包含域 SID），所以您应该验证任何分配给受信任域中共享资源的通用组是否在受信任域中创建。如果受信任林中的通用组不是在受信任域中创建的，即使它可能包含受信任域成员的用户，通用组的成员生成的身份验证请求也将被筛选和舍弃。因此，在为受信任域中的用户中指派信任域中资源的访问权限之前，您应该确认包含受信任域用户的通用组是在受信任域中创建的。禁用 SID 筛选隔离您可以通过使用 Netdom.exe 工具来禁用外部信任的 SID 筛选隔离（尽管不建议这样做）。仅在以下情况才应该考虑禁用 SID 筛选隔离： 您对

21、所有对受信任域中域控制器具有物理访问权限的管理员具有与信任域中的管理员相同的信任级别。 您对将不是在受信任域中创建的通用组指派给信任域中的资源有严格的要求。 用户已被迁移到受信任域，同时保留其 SID 历史记录，并且您要基于 SID 历史记录属性授予他们对信任域中资源的访问权限。只有域管理员才可以禁用 SID 筛选。要禁用信任域的 SID 筛选隔离，请在命令行提示符处键入下列语法：Netdom trustTrustingDomainName/domain:TrustedDomainName/quarantine:No/userD:domainadministratorAcct/password

22、D:domainadminpwd要启用 SID 筛选隔离，请将/quarantine:命令行选项设置为Yes。有关 Netdom.exe 的详细信息，请参阅Active Directory 支持工具。您可以仅从信任的信任方启用或禁用 SID 筛选隔离。如果该信任是双向信任，则您还可以通过使用受信任域的域管理员的凭据并在命令行语法中颠倒TrustingDomainName和TrustedDomainName值来禁用受信任域中的 SID 筛选隔离。注意： 要进一步保护林的安全，您应该考虑在所有由运行 Windows 2000 Service Pack 3（或早期版本）的域控制器创建的现有外部信任上

23、启用 SID 筛选隔离。您可以通过使用 Netdom.exe 在现有外部信任上启用 SID 筛选，也可以通过在运行 WindowsServer2003 或 Windows2000 Service Pack4（或更高版本）的域控制器中重新创建这些外部信任来完成操作。 您无法关闭启用新建外部信任的 SID 筛选隔离的默认行为。 默认情况下，从运行 Windows 2000 Service Pack 3（或早期版本）的域控制器创建的外部信任不会强制使用 SID 筛选隔离。 如果相同域中的现有域控制器正在运行 Windows2000 或 Windows Server2003，则运行 WindowsNTServer4.0 的域控制器不会参与信任创建过程。 您可以仅对林边界之外扩展的信任（例如外部和林信任）启用或禁用 SID 筛选隔离。