Windows 2000使公司可以將不同的商業單元集成到一個統一的結構中,這個結構就是活動目錄森林,這在Windows NT 4.0中是不可能的。許多在NT 4.0域中不能共存的商業單元現在可以在活動目錄的組織單元(OUs)或域中和平共處。但是正如一些使用單 森林結構的人所說,也存在一些商業單元不能共處的場合。有時商業需求或政治原因要求您實現分離的森林。在許多情況下,分離森林中的用戶仍然需要訪問中心森林中的資源。因此,你需要在中心森林和其他森林之間建立信任關系。Windows 2003在不同森林域之間建立信任關系的方法與NT 4.0一致。但是Windows Server 2003新的森林信任功能使其變得更簡單。
多森林范例
從信息安全的角度觀察,域不僅是安全邊界,而且還是復制與管理的邊界。根域管理員組、域管理員組和企業管理員組的成員可以輕易地訪問森林中的任何機器。將資源真正隔離的唯一辦法就是將它們放入分離的森林中。
我們不需要放棄只建立單森林的想法,但我們需要改變一下,即:將森林數量控制在最小,並且只在必需時增加森林。關於如何確定是否創建森林的標准,參見微軟白皮書“Design Considerations for Delegation of Administration in Active Directory”(http://www.microsoft.com/windows2000/techinfo/planning/activedirectory/addeladmin.asp)。這個白皮書清晰地說明了OU、域和森林之間的安全邊界,並說明了如何確定是否將商業單元放入分離森林的過程。
什麼時候需要分離的森林呢?這在幾種情形下需要。最常見的情形是需要保證管理自治(相當於“我不信任您”)。另一種情形是主體的商業單元自己運行Windows 2000森林,並且不能立即更新,由於這個森林還需要一段時間,因此你需要找到與它共存的方法。還有一種情形與森林架構有關,請記住架構(例如AD結構定義)在整個森林中共享,如果你要頻繁更改架構,你應該在分離的森林中做這些事情,這樣只在需要時更改中心森林架構。
資源分離是另一個建立分離森林的重要原因。例如,法律代理部門的信息需要分離,受保護的合同也需要分離。一些像銀行這樣的產業,如果將客戶信息共享會受到處罰。
Windows 2000的森林內信任
在Windows 2000的一個森林內,Kerberos安全協議自動建立域間信任關系。Kerberos的一個重要功能是支持信任傳遞。如果A域信任B域,B域信任C域,則A域自動信任C域。記憶信任傳遞的簡單辦法就是記住“你的朋友就是我的朋友”。這個功能使域樹的概念成為可能,Kerberos票據自動傳遞使森林中的一個域可以自動信任其他域。Kerberos在森林中的雙向信任也叫“內部信任”。若要更多了解Windows 2000的Kerberos技術,參見微軟白皮書“Windows 2000 Kerberos Authentication”(http://www.microsoft.com/windows2000/techinfo/howitworks/security/kerberos.asp)。
Windows 2000的森林間信任
森林之外的信任關系更原始一些。在Windows 2000中,Kerberos無法建立跨森林的信任。NT LAN Manager(NTLM)將建立與其他森林的NT 4.0域和Windows 2000域之間的信任關系。這些信任稱為“外部信任”(第三種信任,即“快捷信任”,使用Kerberos直接連接兩個域樹的子域,以提高性能)。
外部信任與NT 4.0信任有相同的限制:外部信任不如Kerberos信任安全,並且不能傳遞。因此,你很快會陷入和NT 4.0一樣的境地,你必須在每個森林的每個域維護信任。
Windows 2003的森林信任
森林信任是連接兩個森林根域的一種信任。森林信任使您可以用簡單輕松的方式將友好森林綁到一起,比NTLM信任更快、更靈活。由於森林信任用Kerberos替代了NTLM,兩個森林之間的信任是可傳遞的。例如,如果森林A信任森林B,則森林A中的所有域也信任森林B中的所有域。然而,這種信任不在森林間傳遞,如果森林A信任森林B,森林B信任森林C,森林A並不能自動信任森林C。這和NTLM信任的規則一樣,但是它被放大到適合於域森林,和NTLM信任一樣,你可以建立單向或雙向信任。
森林信任的優點
森林信任的兩個優點是跨森林認證和授權。跨森林認證使被信任森林中的用戶可以登錄到信任森林的機器上,而不用重復創建賬號。跨森林授權同樣使你可以對被信任森林的用戶分配權限,以便他們訪問信任森林的資源,同樣無需重復賬號。這個行為不會危害森林安全邊界。
