忘记密码   免费注册 查看新帖 | 论坛精华区

ChinaUnix.net

  平台 论坛 博客 认证专区 大话IT HPC论坛 徽章 文库 沙龙 自测 下载 频道自动化运维 虚拟化 储存备份 C/C++ PHP MySQL 嵌入式 Linux系统
123下一页
最近访问板块 发新帖
查看: 11825 | 回复: 24

[Server 2003] 域和子域的问题 [复制链接]

论坛徽章:
0
发表于 2004-04-10 13:06 |显示全部楼层
假设某公司有一域china.com,那么在china.com下建立一子域为beijing.china.com和建立另一个域beijing.com有何区别??在不建立域信任的情况下,是否意味着china.com的域管理员就无法对beijing.com域进行访问或操作,但是china.com的域管理员可以对其子域beijing.china.com进行访问或操作?

论坛徽章:
0
发表于 2004-04-12 09:53 |显示全部楼层

A:

china.com 和beijing.china.com 是域与子域的父子关系,共处在一个森林中,两者是双向信任的,域之间可以互访,但也并不意味着china.com的域管理员可以对beijing.com域 ,仍是两个不同域,另域是安全边界,域管理员的权限仅局限于一个域内,

beijing.com与china.com之间,当然就不必说了,互不相关,

论坛徽章:
0
发表于 2004-04-12 11:09 |显示全部楼层
很久没有看过活动目录的东西了 我想知道的是 信任域之间的互相访问是什么概念 应该说访问不是管理 那就是说根管理员不能对子域的管理员进行策略的定义和配置 同时 应该能否通过enterprise admins应该可以打破域之间的管理关系的

论坛徽章:
0
发表于 2004-04-12 14:51 |显示全部楼层

Re: A:

最初由 grassstar 发布
[B]域是安全边界,域管理员的权限仅局限于一个域内,[/B]


既然beijing.china.com是china.com的子域,那么是否可以认为beijing.china.com属于china.com??如果是这样的话,那么china.com的域管理员对beijing.china.com进行管理不是也是属于你所说的“域管理员的权限仅局限于一个域内”的吗?

另:还是说父域和子域之间如果没有进行特殊的设置的话,那么他们之间只是名称上的一种父子关系而已,却并没有什么除了可以互相访问之外的实在的联系??

论坛徽章:
0
发表于 2004-04-12 19:16 |显示全部楼层
是的 他们只是名义上的父子关系 并不能相互进行管理 但是企业管理组的成员打破了这个限制 可以管理森林中的所有成员 ( 好像是 :) )

论坛徽章:
0
发表于 2004-04-13 15:13 |显示全部楼层

~~

或许我上面说的,有点错误,
子域创建后,缺省,父域是可以管理子域,但反之不行,

论坛徽章:
0
发表于 2004-04-13 15:20 |显示全部楼层

~~

我把该帖设为精华,希望有这种管理经验的朋友共享一些经验, 有时间我也会去试一试,
Thanks,

论坛徽章:
0
发表于 2004-04-13 22:46 |显示全部楼层

Re: ~~

最初由 grassstar 发布
[B]或许我上面说的,有点错误,
子域创建后,缺省,父域是可以管理子域,但反之不行, [/B]

呵呵 我也没有去试 已经把目录给删了
但我想 之所以会这样 是因为根域的管理员是enterprise admin组的成员
请继续讨论

论坛徽章:
0
发表于 2004-04-14 09:37 |显示全部楼层

转一个辩论

Sucessing提问:

昨天参加了一个MS关于安全的讲座,讲座上提到一个问题,
提到AD的安全边界不在是域,而必须是森林,我问了一下那位讲师,他的解释是,在域中的一个域管理员有能力通过非法手段完全获取另一域中管理体系的权限,来管理另一域对象,而另一域中的域管理员则由于自身权限限制而无法阻止这种情况的发生,因此MS建议使用森林边界。
我不理解这种权限的提升是怎么回事,一个域是一个kerberos的安全管理单元,不同域间如何能相互管理呢,各位知道这是如何做到的吗?

AntiLinux的回复:

AD的安全边界确实应该是森林而不是域,举个例子,一个域树中的子域会信任它的父域及以上的域,这样父域的管理员就拥有对所有子域、孙域的管理权限,这样怎么还能说域是安全的边界呢?
域只是管理的边界

小帅的回复:

域是安全的边界是指策略的应用来说的,好比管理员在一个域上应用的策略(如密码帐户策略等)不会自动继承到子域上。
不同域的管理员的权限大小不能决定域的安全边界,毕竟工作在网络环境中的用户使用的帐户不可能全是管理员吧?他们使用的仅仅是常规的用户帐户,所以域是安全的边界是对他们和存储在AD中的计算机对象、打印机对象……来说的。
如果你畏惧森林根域管理员的威力,那就使用AD空根设计。

Sucessing的反驳:

首先反驳一下AntiLinux(△)的意见,域安全边界指的是一个域管理员仅可管理本域内资源/动作,
不可能管理到其子域上,子域从管理关系角度考虑是与父域平等的,而仅在名称结构上存在父子关系,
另外反驳一下jzlld(▲▲)的意见,任何域管理员的权限都仅限于本域,不存在域大小的问题,因此MCSE课程中提到域才是安全的边界,另外,使用AD空根设计也是可以使用森林根域管理员的角色啊!这一点我没理解你的意思.

另外楼上几位曲解我的意思了,我指的是在森林中正常情况下安全边界为域,但可能由于双向信任的关系,导致一个域管理员无法阻止另一个域的管理员通过非法手段对其域进行非法管理,因为该域的管理员权限仅限于本域内,而其他域的管理员却的确可以通过非法手段管理其他域,因此在非法角度\"而言
安全边界应该改为森林,但我不理解的是一个域是一个KERBEROS验证单元,为什么这种安全边界的概念被打破呢,我想知道是如何非法管理其他域的,真的无法防范吗?

小帅的再反驳:

“任何管理员的权限都限于本地域,不存在域大小问题”(这话是你说的)!
那么根域的管理员可以修改“站点设置”子域管理员不可以修改,我想问问这是什么原因?默认根域的管理员可以在森林的任意DC上登录,而子域的管理员却不能在根域的DC上登录,为什么?难道说微软故意或无意将森林的默认策略设置成这样的??因为你说的根域子域管理员权限一边大???????

另外你所指的非法管理到底是怎么管理的?具体操作如何操作??什么叫非法管理?
还有如果企业森林使用空根设计之后,那么根域管理员帐户的使用将是企业决策层决定的(也就是企业的CIO)。使用该帐户的密码纸条是放在保险柜里的,使用的时候需要打报告。能说想用就用???恐怕子域的管理员连这个帐户的是什么都没权利得到(因为行政要求)!!

kerberos作为验证技术、不是授权技术,根域的管理员验证当然是根域的DC验证的,但其被默认授予的权利就是可以波及到所有的域乃至森林中的所有东西!!子域的管理员当然是子域的DC验证的。但毕竟子域管理员不是鼻祖!!

言归正传,安全的边界一词指的是当一个有权利的人设置一个域的安全策略的时候这个策略所能波及的范围(注意我的用词,是这个策略,不是设置这个策略的人所能波及的范围)域才是安全的边界。这样才能做到让每个域都有自己的特色设置!不至于森林中所有的“东西”都变得一样。
至于管理员权利在安全边界的讨论我觉得没什么必要!我们是域管理员,我们管理的是域的资源,难道需要有人管理域管理员??????要是有就只能是企业的政治决策!!

zhangqi917的措辞:

引用:
安全边界:林
许多人还问过我,Win 2000 中的主要安全边界是否仍然是域。通常,域仍然提供管理边界,但由于 Win 2000 林中固有的扩展双向信任,防止某些用户被授权访问特定资源的唯一方法是将这些用户放在与资源所在林不同的林中。如果必要,可使用明确的信任关系允许这些用户被授予特定域中资源的访问权限。此外,如果服务帐户存在于林的一个域中,但在另一个域中进行身份验证,那么若进行身份验证的域被泄露,则存在将密码从 LSA Secrets 缓存泄露出去的风险。最后,林中任何域的域管理员如果能够创建对象,则他们可能会通过迅速创建或删除对象而有意或无意地创建拒绝服务条件,从而导致全局编录中出现大量复制内容。出于这些关键原因,我建议将林作为 Win 2000 中的绝对安全边界。

小帅的调侃:

调侃一下!

国际足联是“森林”的权威根管理员,各个国家的足协都是“子域”的管理员!国际足联完全有能力指定统一足球联赛的标准(不符合标准的就从国际足联滚蛋,没资格参加国际足联的一切赛事),但由于各个国家(不同子域)的经济、足球素养不同,不能统一概论,所以国际足联允许各国家可根据自己的特色展开联赛(比如该死的中国足协域阎管理员为中国足球域定义的策略让所有该域中的用户球迷十分讨厌)。而由于有了国际足协的存在,信任关系成为可能,转会国外俱乐部成为可能(例如sun,当然如果国际足协跟外星足协建立手工的林信任关系,SUN也有机会跟外星人踢球)。

所以以上可以看出!出与管理大部分资源对象的目的而言(因为工作在域的环境中企业投入的绝大多数的精力是管理资源)应该以一种即集中又分散的模式,就是我们所说的分布式的管理(然而你却不能在森林范围实现集中,你能在森林范围应用什么策略让子域全部照办?),而域就可以实现集中的管理:集中的策略设置导致该域的所有用户帐户策略必须一致!!

域是安全的边界:重点在安全上,安全的含义太广泛了,它含盖了被管理的对象和管理这些对象的策略设置、如何有效的让适当人来完成策略布置也包含在内!我个人认为“域是安全的边界”微软表达的意思应该是统一、集中规章策略的意思。让你的管理轻松容易!只有在域级别才能实现统一,当然是策略设置的统一。森林的级别存在的是信任,存在的是子域中的用户在森林的环境中能够获得更大能动性的操作(跨域登录)!毕竟AD大部分运行操作是对管理的资源也就是对象而言的,不是对某几位管理员谁更权高位重而言的,同理:足协的产生不是因为布拉特这个老家伙出生在法国、阎大爷在中国娶妻生子,而是为了展现足球的魅力所在)。

我在上课的时候总是告诉学生:不要迷恋在拥有管理员帐户有多么的爽上,如果能深刻理解微软AD工程师在设计AD这个课题上所体现出的简洁轻松的用意那会是非常美好的一件事情!!!

不是吗??????????????

论坛徽章:
0
发表于 2004-04-14 10:58 |显示全部楼层

~~

谢谢tomdoctor,通过它,大家根据自己的判断可以吸收一些有用的东东,

根域的超级管理员缺省是可以管理子域的,主要原因也是tomdoctor所说的“因为根域的管理员是enterprise admin组的成员 ”;

MICROSOFT一直强调“域是管理边界”,这种现象也真不好去理解,或许小帅的“域是安全的边界是指策略的应用来说的”,是有道理的,
您需要登录后才可以回帖 登录 | 注册

本版积分规则

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号 北京市公安局海淀分局网监中心备案编号:11010802020122
广播电视节目制作经营许可证(京) 字第1234号 中国互联网协会会员  联系我们:
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP