误区一:为不同的办事处设置不同的域。
如现在有一家企业,其在上海、广州各有一个办事处,其本部在北京。在这种情形下,需要为上海和广州各设一个域吗?以前有不少系统设计师是这么做的。其实没有这个必要。特别是微软在2008中提出了只读域控制器之后,没有必要为一些办事处设置单独的域。否则的话,只会额外的增加系统管理人员的工作量。
其实域是微软网络环境的一个初始的逻辑边界或者说最小的逻辑边界。系统工程师均从域的边界内管理和存储用户和计算机。包括打印机、用户的帐号信息、权限等内容。从安全的角度讲,域同时还充当对象的管理安全性边界,并会包含它们自己的安全策略。简单的说,就是指域是对象的逻辑结构,并且可以方便的跨越多个物理位置。这就说明在设计域结构时时,物理位置并不是主要因素(当然有时候也需要考虑),其主要还是要看企业应用环境的逻辑结构。
所以在实际工作中,并不需要为不同地理位置的办事处设置多个单独的域。这种老命伤财的行为我们要尽量的避免。在2008应用环境中,系统管理员尽可以利用只读域控制器来解决办事处或者分支机构的安全问题。
笔者认为,如果企业的分支机构或者办事处规模不大,如只有几十人,那么没有必要为其单独的设置一个域。相反如果企业的分支机构是一个单独的法人,或者其规模有上百人,此时企业往往需要在这个分支机构配有专业的系统管理人员。此时出于管理灵活性的考虑,可以为这个分支机构设置单独的域。总之,不管三七二十一,由于地理位置的原因,为办事处设置单独的域,这种做法是不合理的。
误区二:将信任传递与访问权限混为一谈。
多个域构成一颗域树。或者说域树是由多个通过双向可传递的信任连接的域构成的。在这个定义中,有一个核心的关键字叫做信任的双向可传递。如现在有一颗域数,A.com是信任根域,B.A.COM和C.A.COM是其两个平行的子域。现在根据双向可传递的信任规则,A域如果信任B,那么B域也相信 A域。C域如果相信A域,那么A域也信任B域。而根据传递规则,B信任A,而A信任C,则B域也信任C域。
现在笔者要问的问题时,如果现在A域的管理员可以管理B域与C域,那么是否说明B域的管理员也可以管理C域呢?因为B相信A,而A相信C,为此 B可以管理C?其实这里就犯了一个概念性的错误。将信任与访问的权限混为一谈。这就好像你有一个朋友,非常的信任他。但是不等于他可以来管理你的家事。
为此系统管理员需要牢记,虽然在域树环境中,信任是双向的,并且是可以传递的。但是这并不意味着所有用户都可以完全的获得访问权。即便是域之间的管理员,信任仅仅提供从一个域到另外一个于的一条路径。或者说,信任是可以管理的一个前提条件。只有在信任的基础之上,才能够对其进行授权管理。而在默认情况下,系统并不允许访问权限从一个域传递到另外一个域。域的管理员必须为另一个域的用户或者管理员下发权限后才能够访问其域中的资源。
不过需要注意的是,域树中的每一个域都共享一个公共的模式和全局目录。一颗树内的所有域共享相同的名称空间。根据默认的安全机制,某个子域的管理员在其整个域上有相对的控制权。另外一个子域甚至根域如果没有经过授权,是无法访问其域中的资源。从这里也可以看出,不信任与访问权根本是两码事。当然在有信任的基础之上,系统管理员可以根据需要,授予其他域或者根域用户一定的权限,让其能够有这个权力访问自己域的特定资源。
总之,系统管理员需要分清楚信任与访问权之间的联系与区别,不能够将两者混为一谈。然后在这基础之上,考虑是否需要为其他域的用户设置合适的访问权限。
误区三:采用默认的域认证模式。
在2008网络环境中,其支持两种默认的域认证模式,分别为NTLM和Kerberos认证方式。NTLM是NT局域网管理器的简称。从这个名字就可以看出,其沿用的是微软早期NT网络环境的认证系统。这种认证方是采用散列的形式跨网络哦传递加密的口令。虽然对网络中传输的命令采取了加密的措施,但是仍然存在一定的安全隐患。如任何人都可以监视网络中传递的散列信息、并收集这些信息然后再使用第三方的解密工具进行破解。其破解的难度就要看加密的复杂程度。通产情况下,攻击者可以利用字典或者蛮力攻击技术在破译口令,其破解只是一个时间问题。
而Kerberos认证方法则不同。简单的说,这种认证方法并不会在网络上发送口令信息,并且其本身采用的加密措施要比NT局域网络认证系统要安全。不过可惜的是,出于向前兼容的考虑,即使到了2008环境中,微软还是默认采用了相对不安全的NTLM认证方式。有些系统管理员在这方面可能并不是很熟悉,在一些对应用安全要求比较高的场合之下,采用了这个默认的安全机制,引发了不少的安全事件。
笔者建议,系统管理员需要了解这两种认证模式的差异。然后根据企业的实际情况,如果对于安全级别要求比较高,那么就需要对所采取的认证模式进行切换,选择更加安全的Kerberos认证方式。
误区四:混淆功能级别无法发挥最大的效能。
在Windows2008服务器环境中,与2003一样,也采取了功能级别的设计。采取功能级别,主要是为了确保与传统域版本向后的兼容性。在新的网络环境中,2008也有它自己的功能级别以用来维护兼容性。
现在2008支持如下几种功能级别。2000本地功能级别(允许控制器采用2008、2003和2000SP3的版本,注意如果是2000的域控制器,要打上SP3的补丁)、2003功能级别(允许2003和2008的域控制器共存,并将额外的功能添加到森林中包括可传递信任能力)、2008功能级别(所有的域控制器所采用的服务器版本必须为2008)。可见这个功能级别,主要是针对域控制器而言,而跟其他的服务器或者客户端的版本无关。在默认情况下,服务器采用的是一种降级模式的兼容性来执行操作的。
如果采用比较低的功能级别,将无法使用2008所带来的全新功能。如采用的是2003的功能级别,将无法采用精细粒度的口令策略,而无法完全实现域DS的能力。可见,不同的功能级别其实限制了系统管理员可以采用哪些功能。为此在域设计时,系统分析师需要先确认2008的新功能,并确认这些新功能至少需要在那个级别上运行。然后根据企业的实际情况,判断自己是否需要使用这些功能。最终确定所需要采用的功能级别。而不是先介绍使用某个功能级别,再来考虑不能够使用哪些功能。如此的话,就本末倒置了。
. TAG: windows server 2008 域设计