随着信息技术和网络技术的发展,特别是Internet的不断普及,如何防止信息不被非法截获和破坏,即有效维护网络信息的安全性,成为越来越多的人关注的焦点。作为新一代的操作系统的Windows
2000,可通过多种技术和手段来控制用户对资源的访问,提高网络的安全性,其中包括与活动目录(Active Directory)服务的集成、支持认证Windows 2000用户的Kerberos v5认证协议、提供了公钥基础设施PKI支持,用公钥证书对外部用户进行认证、使用加密文件系统EFS(Encrypting File
System)保护本地数据以、使用Internet协议安全IPSec(Internet Protocol security)来保证通过公有网络的通信的安全性,以及基于Windows 2000的安全应用开发的可扩展性等等。
1 活动目录技术
活动目录服务在Windows 2000信息安全和网络安全中具有重要作用,它是关于用户、硬件、应用和网络数据的存储中心,也存储用户的认证信息,以及用户使用某一资源的授权信息等。活动目录与Windows
2000的其他安全服务紧密集成,如Kerberos认证协议、公钥基础设施PKI、加密文件系统EFS、安全设置管理器和组策略等。
同Windows NT中的平面文件(flat-file)目录不同,Windows 2000活动目录采用了代表商业企业组织结构的分层目录结构来存储信息,这样可以简化管理,具有良好的可伸缩性。为了创建这种分层结构,同Windows采用文件和文件夹来组织本地资源的方法类似,活动目录使用域(domains)、组织单元OUs(Organizational Units)和对象来管理和使用网络资源。
一个域是网络对象,包括组织单元、用户账号、组和计算机等的集合,它们共享一个公共目录数据库,并组成活动目录中逻辑结构的核心单元。每个域中可能包含多个组织单元和用户(对象),这样更符合公司或企业的组织模式。
大的企业或组织可能包含多个域,这种情况下的域分层就称为域树(Domain Tree)。创建的第一个域为根(root)域,也称为父域,在其下面创建的域为子(child)域。为了支持更大的组织结构,多个域树连接起来可以组成森林(forest),在这种情况下,需要使用多个域控制器,活动目录就可以定时在多个域控制器之间复制信息,从而保持目录数据库信息的同步。
在域中,一个组织单元OU是把对象组织成逻辑管理组的容器,其中包括一个或多个对象,如用户账号、组、计算机、打印机、应用、文件共享或其他OU等。
1
2
3
4
5
6
7
8
下一页>>
