在 Windows 2000下活动目录与DDNS集成,因此实现活动目录安全第一步是实现 DDNS的安全。
1.
使用NTFS。Windows 2000 的版本是 NTFS v5,此版本允许设置文件和文件夹的安全、加密文件系统和审核。NTFS v5 不与先前的NTFS兼容。在安装了Service Pack 4 或更高版本的NT4.0上只能读取NTFS v5。
NTFS通过设置文件夹和文件级别访问权限来限制网络或本地对文件的访问。
NTFS和共享权限可以被用来非常精确的控制权限和继承关系。
2.
使用注册表编辑器编辑DACL关系到每一个注册表的配置单元。细节问题可以参考SANS出版的"Windows NT Security, Step-by-Step"。
3.Enterprise管理员和Schema管理员组
在Windows2000网络建立之后,限制访问这两个管理员组。这些组出现在根域下并且有最高的权限。根据域的结构,管理可以被委派到域结构,因此管理可以被限制到单个域。
Windows2000的NTFS提供了使用加密文件系统的选择。EFS使用基于公共密钥的技术来进一步限制文件的未授权访问。
5.活动目录中的DNS
DNS的安装将扩展活动目录的架构,包含了DNSUpdateProxy组。这是一个非常强大的组,它允许创建对象,这是不安全的,当这种情况发生时,任何授权用户可以获得这些对象的所有权。
DNS中客户端的A记录和PTR记录会在DHCP处理进程中进行更新,这在上面有详细地叙述。当客户和服务器都是Windows2000时,安全动态更新可以通过默认安装来完成,当有其它的用户需要支持时,安全动态更新不能完成,除非DHCP服务器被加入到了DNSUpdateProxy组,加入DNSUpdateProxy组后,允许DHCP服务器为早期的客户端执行动态更新。
如果DHCP服务运行在一个域控制器时,需要特别考虑的是,添加DHCP服务器到DNSUpdateProxy组,将允许所有用户或计算机完全控制相应域控制器的DNS记录。
6.资源记录的所有权
DHCP服务器不能在早期的客户端上执行安全动态更新,这在Windows2000网络中是非常重要的。如果这种情况发生,会出现不能完全更新活动记录的情况。例如,一个NT4.0的客户端通过DHCP服务器在DNS中注册了一个名字,当这台机器被升级到Windows2000时,这个名字保持不变。DHCP服务器因其最先注册了这个名字而拥有这个名字的资源记录所有权,所以Windows 2000客户不能更新它自己的名字。
7.WINS查找
作为Windows2000最终的告诫,我将翻译说明为什么WINS将是Windows 2000网络中最可能需要的部分。为什么呢?对所有非Windows2000客户,NetBios解析仍是必需的。同样,所有需要NetBios的程序也将需要WINS来做名字解析。WINS通过两个特定的资源记录直接集成到了DNS中:WINS和WINS-R。这分别为WINS做正向和反向记录查找。
四、结论
总之,理解Windows2000使用DNS的过程是非常重要的。在文章的1.0部分"安全动态更新"和2.0部分"区域"中有了一个简述。理解Windows2000的"gotcha's"和"caveats"也是非常重要的。3.0部分活动目录集成DNS区域列举了相关的项目。