林和域信任.docx
《林和域信任.docx》由会员分享,可在线阅读,更多相关《林和域信任.docx(13页珍藏版)》请在冰点文库上搜索。
林和域信任
林信任
在Windows Server 2003林中,您可以将两个断开连接的Windows Server 2003林链接起来建立单向或双向可传递信任关系。
双向林信任用于在两个林中的每个域之间建立可传递的信任关系。
林信任提供了下列好处:
∙通过减少共享资源所需的外部信任数,简化了横跨两个Windows Server 2003林的资源的管理。
∙每个林中每个域之间的完全的双向信任关系。
∙使用跨越两个林的用户主体名称(UPN)身份验证。
∙使用KerberosV5和NTLM身份验证协议,提高了林之间传递的授权数据的可信赖度。
∙灵活的管理。
每个林的管理任务可以是唯一的。
林信任只能在两个林之间创建,不能隐式扩展到第三个林。
这意味着如果在林 1和林 2之间创建了一个林信任,在林 2和林 3之间也创建了一个林信任,则林 1和林 3之间没有隐式信任关系。
有关林信任所需要求的详细信息,请参阅何时创建林信任。
注意:
∙在Windows2000林中,如果一个林中的用户需要访问另一个林中的资源,管理员可在两个域之间创建外部信任关系。
外部信任可以是单向或双向的非传递信任,因此限制了信任路径扩展到其他域的能力。
有关外部信任的详细信息,请参阅信任类型。
∙Windows Server 2003Active Directory中的所有信任在一定程度上都使用安全标识符(SID)筛选。
默认情况下,外部信任被隔离,阻止除被隔离的受信任域之外的任何其他域SID遍历信任关系。
SID筛选用于防止可能试图将提升的用户权限授予其他用户帐户的恶意用户的攻击。
林信任上的SID筛选不会阻止使用SID历史记录迁移到同一林中的域,而且也不会影响通用组访问控制策略。
有关SID筛选的详细信息,请参阅何时创建外部信任。
管理多林环境
通过提供跨越多个林访问资源和其他对象的支持,林信任可帮助您管理单位内分段的ActiveDirectory结构。
有关跨越多个林访问资源的详细信息,请参阅跨林访问资源。
因为每个林都是单独管理的,所以在单位中添加其他林就增加了单位的管理需要。
有关详细信息,请参阅新建林。
在单位中创建多个林的原因有:
∙保护每个林中的数据。
保护敏感数据,使得只有林内的用户才能访问。
∙使每个林中的目录复制独立起来。
架构更改、配置更改,以及在林中添加新域只会在该林范围内产生影响,而不会对信任林产生影响。
委派林范围的管理控制
存储在架构和配置容器中的ActiveDirectory数据将复制到林中的每个域控制器。
由于对架构和配置容器的更改将影响林中所有的域,因此对于林范围的管理控制,应当由受过高级培训或经验丰富的管理员来执行。
林根域中包含的所有域数据也应当视为高度敏感的数据。
下列各组在每个林中提供了林范围的管理控制:
∙EnterpriseAdmins
∙DomainAdmins(在林根域中)
∙SchemaAdmins
由于以上任何组中的成员身份都会影响林范围的行为,因此在添加用户时要特别谨慎。
作为安全性的最佳操作,应避免从另一个林向以上任何林范围的管理组添加用户。
有关这些组的详细信息,请参阅默认组。
跨林同步数据
可以使用MicrosoftMetadirectoryServices(MMS)或另一种支持的同步工具跨林同步全局地址列表(GAL)和对象。
需要跨林同步的通用数据类型包括:
∙GAL(Exchange)
∙公用文件夹
∙目录对象
跨林同步此数据可帮助最终用户查看地址列表和其他数据,其方式与在自己的林中查看信息的方式相同。
何时创建林信任
只能在一个Windows Server 2003林中的林根域和另一个Windows Server 2003林中的林根域之间创建林信任。
在两个Windows Server 2003林之间创建林信任可为任一林内的各个域之间提供一种单向或双向的可传递信任关系。
林信任适用于应用程序服务提供商、正在经历合并或收购的公司、合作企业Extranet,以及寻求管理自治解决方案的公司。
Note
不能对林信任启用SID筛选器隔离,即使用 netdom 命令以及 /quarantine:
yes 选项。
但是,如果已将用户从一个Windows Server 2003林迁移到另一个Windows Server 2003林,并且迁移的用户需要访问前一个域中的资源,则您可以通过使用 netdom 命令以及 /enablesidhistory:
yes 选项来放宽应用到林的默认SID筛选。
对林信任使用该命令可降低林信任上的SID筛选级别。
因此,请确保您信任受信任域的管理员及其安全操作。
使用单向林信任
两个林之间的单向林信任允许受信任林的成员使用信任林中的资源。
但是,此信任只是单向的。
例如,当在A林(受信任林)和B林(信任林)之间创建单向林信任时,A林的成员可以访问B林中的资源,但B林的成员不能使用同一个信任访问A林中的资源。
使用双向林信任
两个林之间的双向林信任允许任一个林的成员使用另一个林中的资源;每个林中的域隐式信任另一个林中的域。
例如,当A林和B林之间建立双向林信任时,A林的成员可以访问B林中的资源,B林的成员也可以使用同一个信任访问A林中的资源.
信任类型
域和域之间的通讯是通过信任发生的。
信任是为了使一个域中的用户访问另一个域中的资源而必须存在的身份验证管道。
使用“ActiveDirectory安装向导”时,将会创建两个默认信任。
使用“新建信任向导”或Netdom命令行工具可创建另外四种类型的信任。
默认信任
默认情况下,当使用“ActiveDirectory安装向导”在域树或林根域中添加新域时,系统会自动创建双向的可传递信任。
下表中定义了两种默认信任类型。
信任类型
传递性
方向
描述
父子
可传递
双向
默认情况下,当现有域树中添加新的子域时,将建立一个新的父子信任。
来自从属域的身份验证请求将通过其父项向上传递到信任域中。
有关新建子域的信息,请参阅新建子域。
树根
可传递
双向
默认情况下,当现有林中创建新的域树时,将建立一个新的树根信任。
有关新建域树的信息,请参阅新建域树。
其他信任
使用“新建信任向导”或Netdom命令行工具可创建另外四种类型的信任:
外部、领域、林和快捷信任。
下表中定义了这些信任。
信任类型
传递性
方向
描述
外部
不可传递
单向或双向
使用外部信任可访问Windows NT4.0域中的资源,或单独(未经林信任连接)的林内某个域中的资源。
详细信息,请参阅何时创建外部信任。
领域
可传递或不可传递
单向或双向
使用领域信任可建立非WindowsKerberos领域和WindowsServer 2003域之间的信任关系。
详细信息,请参阅何时创建领域信任。
林
可传递
单向或双向
使用林信任可在各个林之间共享资源。
如果林信任是双向信任,则任一个林中的身份验证请求都可以到达另一个林。
详细信息,请参阅何时创建林信任。
快捷
可传递
单向或双向
使用快捷信任可改善WindowsServer 2003林内的两个域之间的用户登录时间。
当两个域被两个域树分隔开时,这是很有用的。
详细信息,请参阅何时创建快捷信任。
在创建外部信任、快捷信任、领域信任或林信任时,可以选择单独创建信任的每一方或同时创建信任的双方。
如果选择单独创建信任的每一方,则需要运行两次“新建信任向导”,为每个域运行一次。
当使用此方法创建信任时,需要为每个域提供相同的信任密码。
作为最佳的安全操作,所有信任密码都应是强密码。
详细信息,请参阅强密码。
如果选择同时创建信任的双方,则需要运行一次“新建信任向导”。
当选择该选项时,系统将自动为您生成强信任密码。
您需要对在其间创建信任的每个域拥有适当的管理凭据。
创建外部信任
使用Windows界面
1.打开“ActiveDirectory域和信任关系”。
2.在控制台树中,右键单击要为其建立信任的域的域节点,然后单击“属性”。
3.单击“信任”选项卡上的“新建信任”,然后单击“下一步”。
4.在“信任名称”页上,键入域的DNS名称(或NetBIOS名称),然后单击“下一步”。
5.在“信任类型”页上,单击“外部信任”,然后单击“下一步”。
6.在“信任方向”页上,执行下列操作之一:
∙要创建双向外部信任,请单击“双向”。
该域中的用户和指定域中的用户都可以访问任一域中的资源。
∙要创建单向的内向外部信任,请单击“单向:
内传”。
指定域中的用户将无法访问该域中的任何资源。
∙要创建单向的外向外部信任,请单击“单向:
外传”。
何时创建外部信任
您可以创建外部信任,以便与林外的域形成单向或双向的非传递信任。
当用户需要访问Windows NT 4.0域中的资源时,或者需要访问位于单独的林(未由林信任加入)内某个域中的资源时(如图所示),有时必需外部信任。
在特定林的域和该林外的域之间建立信任关系后,来自外部域的安全主体可访问该内部域中的资源。
ActiveDirectory在内部域中创建外部安全主体对象,用以表示信任的外部域中的每个安全主体。
这些外部安全主体可成为内部域中域本地组的成员。
本地域组可以有来自该林外的域的成员。
由ActiveDirectory创建外部安全主体的目录对象不应该手动修改。
您可以通过启用高级功能查看ActiveDirectory用户和计算机中的外部安全主体对象。
在功能级别设置为Windows2000混合模式的域中,建议从运行Windows Server 2003的域控制器中删除外部信任。
针对Windows NT 4.0或3.51域的外部信任可由运行Windows NT 4.0或3.51的域控制器上的授权管理员删除。
但是,只有此关系的受信任方才能在运行WindowsNT4.0或3.51的域控制器上删除。
此关系的信任方(在Windows Server 2003域中创建)不会被删除,并且即使它不可运行,此信任仍将显示在ActiveDirectory域和信任关系中。
要完全删除此信任,您需要从信任域的WindowsServer2003域控制器中删除此信任。
如果不小心从运行Windows NT 4.0或3.51的域控制器中删除了外部信任,则您需要从信任域中运行Windows Server 2003的任何域控制器中重新创建此信任。
有关创建外部信任的详细信息,请参阅创建外部信任。
保护外部信任的安全
要提高ActiveDirectory林的安全性,默认情况下,运行Windows Server 2003和Windows 2000ServicePack 4(或更高版本)的域控制器会对所有新的传出外部信任启用安全标识符(SID)筛选隔离。
通过对传出外部信任应用SID筛选隔离,您可以防止在受信任域中具有域管理员级别访问权限的恶意用户将已提升的信任域用户权限授予自身或其域中的其他用户帐户。
当恶意用户能够将XX的用户权限授予其他用户时,这也称为“提升特权”攻击。
有关SID筛选以及如何进一步缓解特权提升攻击的详细信息,请参阅MS02-001:
伪造的SID可能导致Windows 2000中出现提升特权攻击(
SID筛选隔离如何工作
在域中创建安全主体时,该域SID将包含于该安全主体的SID中,以标识在其中创建它的域。
域SID是安全原则的重要特征,因为Windows安全子系统使用它来验证安全原则的真实性。
以类似方式,从信任域创建的传出外部信任使用SID筛选隔离来验证来自受信任域中的安全主体创建的传入身份验证请求是否仅包含受信任域中的安全主体的SID。
这通过将传入安全原则的SID和受信任域的域SID进行比较完成的。
如果任何安全原则SID包含域SID而不是受信任域的SID,则信任将删除有问题的SID。
SID筛选确保对受信任的林中安全主体上的SID历史记录属性(包括inetOrgPerson)的任何误用都不会威胁到信任林的完整性。
当域管理员将用户和组帐户从一个域迁移到另一个域时,SID历史记录属性可能对他们非常有用。
域管理员可以将旧用户或组帐户的SID添加到新的、已迁移帐户的SID历史记录属性。
通过执行此操作,域管理员将授予新帐户与旧帐户相同级别的资源访问权限。
如果域管理员无法通过此方式使用SID历史记录属性,则他们必须跟踪并为新帐户重新应用对每个网络资源(旧帐户可以访问这些资源)的权限。
了解威胁
如果对于传出外部信任未使用SID筛选,那么受信任域中具有管理凭据的恶意用户就可能会探测来自信任域的网络身份验证请求,从而获取对信任域中的资源具有完全访问权限的用户(例如域管理员)的SID信息。
获取来自信任域的域管理员SID之后,具有管理凭据的恶意用户可以将该SID添加到受信任域中用户帐户的SID历史记录属性中,并尝试获取对信任域及其中资源的完全访问权限。
在这种情况下,具有受信任域中域管理员凭据的恶意用户将对整个信任域造成威胁。
SID筛选可以缓解受信任域中的恶意用户通过使用SID历史记录属性获取提升特权的威胁。
SID筛选隔离的影响
外部信任上的SID筛选隔离可能会在下列两个方面影响现有的ActiveDirectory基础结构:
∙包含任何域而不是受信任域SID的SID历史数据将从受信任域中生成的身份验证请求中删除。
这将导致对具有用户旧SID的资源的访问被拒绝。
∙林间的通用组访问控制策略需要更改。
当SID筛选隔离启用后,使用SID历史数据来对信任域中的资源进行授权的用户将不再对这些资源具有访问权限。
如果您通常会将受信任林的通用组分配给信任域中共享资源的访问控制列表(ACL),则SID筛选隔离将会对访问控制策略造成重大影响。
因为通用组必须坚持使用与其他安全主体对象相同的SID筛选隔离原则(即通用组对象SID必须还包含域SID),所以您应该验证任何分配给受信任域中共享资源的通用组是否在受信任域中创建。
如果受信任林中的通用组不是在受信任域中创建的,即使它可能包含受信任域成员的用户,通用组的成员生成的身份验证请求也将被筛选和舍弃。
因此,在为受信任域中的用户中指派信任域中资源的访问权限之前,您应该确认包含受信任域用户的通用组是在受信任域中创建的。
禁用SID筛选隔离
您可以通过使用Netdom.exe工具来禁用外部信任的SID筛选隔离(尽管不建议这样做)。
仅在以下情况才应该考虑禁用SID筛选隔离:
∙您对所有对受信任域中域控制器具有物理访问权限的管理员具有与信任域中的管理员相同的信任级别。
∙您对将不是在受信任域中创建的通用组指派给信任域中的资源有严格的要求。
∙用户已被迁移到受信任域,同时保留其SID历史记录,并且您要基于SID历史记录属性授予他们对信任域中资源的访问权限。
只有域管理员才可以禁用SID筛选。
要禁用信任域的SID筛选隔离,请在命令行提示符处键入下列语法:
Netdomtrust TrustingDomainName /domain:
TrustedDomainName /quarantine:
No /userD:
domainadministratorAcct/passwordD:
domainadminpwd
要启用SID筛选隔离,请将 /quarantine:
命令行选项设置为 Yes。
有关Netdom.exe的详细信息,请参阅 ActiveDirectory支持工具。
您可以仅从信任的信任方启用或禁用SID筛选隔离。
如果该信任是双向信任,则您还可以通过使用受信任域的域管理员的凭据并在命令行语法中颠倒 TrustingDomainName 和TrustedDomainName 值来禁用受信任域中的SID筛选隔离。
注意:
∙要进一步保护林的安全,您应该考虑在所有由运行Windows2000ServicePack3(或早期版本)的域控制器创建的现有外部信任上启用SID筛选隔离。
您可以通过使用Netdom.exe在现有外部信任上启用SID筛选,也可以通过在运行Windows Server 2003或Windows 2000ServicePack 4(或更高版本)的域控制器中重新创建这些外部信任来完成操作。
∙您无法关闭启用新建外部信任的SID筛选隔离的默认行为。
∙默认情况下,从运行Windows2000ServicePack3(或早期版本)的域控制器创建的外部信任不会强制使用SID筛选隔离。
∙如果相同域中的现有域控制器正在运行Windows 2000或WindowsServer 2003,则运行Windows NT Server 4.0的域控制器不会参与信任创建过程。
∙您可以仅对林边界之外扩展的信任(例如外部和林信任)启用或禁用SID筛选隔离。