為了向后兼容性，在 Windows 2000 中，信任關(guān)系通過使用 Kerberos V5 協(xié)議及 NTLM 身份驗證（描述如下）支持跨域的身份驗證 。這一點很重要，因為許多組織的基于 Windows NT 的企業(yè)域模型非常復(fù)雜，具有多個主域和許多資源域，而這些組織發(fā)現(xiàn)管理資源域和其主帳戶域間的信任關(guān)系既花費成本又非常復(fù)雜 。因為基于 Windows 2000 的域目錄樹支持傳遞信任目錄樹，它簡化了較大型組織的網(wǎng)絡(luò)域集成及管理 。不過請注意，對于 ACL 不同意授予某些權(quán)限的人，傳遞信任不會自動將這些權(quán)限指派給他（或她） 。傳遞信任讓管理員更容易定義和配置訪問權(quán)限 。
使用組策略管理安全性
組策略設(shè)置是配置設(shè)置，管理者可用此設(shè)置來控制 Actove Directory 中對象的各種行為 。“組策略”是 Active Directory 一項顯著的功能，它讓您以相同的方式將所有類型的策略應(yīng)用到眾多計算機(jī)上 。例如，可以使用“組策略”來
配置安全性選項，管理應(yīng)用程序，管理桌面外觀，指派腳本，以及將文件夾從本地計算機(jī)重新定向到網(wǎng)絡(luò)位置 。系統(tǒng)將“組策略”設(shè)置在計算機(jī)激活時應(yīng)用于計算機(jī)，在用戶登錄時應(yīng)用于用戶 。
可以將“組策略”配置設(shè)置與三個 Active Directory 容器相關(guān)聯(lián)：組織單元 (OU)、域或站點 。與給定的容器相關(guān)的“組策略”設(shè)置不是影響該容器中所有的用戶或計算機(jī)，就是影響該容器中特定的對象集合 。
可以使用“組策略”來定義廣泛的安全性策略 。域級策略應(yīng)用于域中的所有用戶并包含如帳戶策略等的信息 - 例如，最短密碼長度或用戶多久該更改密碼一次 ?？梢灾付ㄔ谳^低級別是否可改寫這些設(shè)置 。
在使用“組策略”功能來應(yīng)用廣泛的策略后，可以進(jìn)一步細(xì)化個別 PC 上的安全性設(shè)置 。本地計算機(jī)安全性設(shè)置控制您想要授予特定用戶或計算機(jī)的權(quán)限和特權(quán) 。例如可以指定誰可在服務(wù)器上進(jìn)行備份和還原、或希望審核桌上型計算機(jī)的數(shù)據(jù)訪問量 。
特定計算機(jī)的設(shè)置是從域到 OU 所有策略設(shè)置的組合 。例如，在上面的圖 1 中，Europe.Microsoft.com 域中用戶的設(shè)置
是 Microsoft.com 域、Europe.Microsoft.com 域及域中所有 OU 上設(shè)置的所有策略的集合 。
身份驗證和訪問控制
身份驗證是系統(tǒng)安全性的基本方面 。身份驗證是用來確認(rèn)任何試圖登錄到域或訪問網(wǎng)絡(luò)資源的用戶的身份 。Windows 2000 身份驗證過程是使單一登錄可訪問所有網(wǎng)絡(luò)資源的過程的一部分 。使用單一登錄，用戶可以用單一密碼或智能卡登錄到域中一次，并可對域中任何計算機(jī)進(jìn)行身份驗證 。
在基于 Windows 2000 的計算環(huán)境中，成功的用戶身份驗證是由兩個單獨的過程組成的： 互動式登錄，這會向域帳戶或本地計算機(jī)確認(rèn)用戶的身份；以及網(wǎng)絡(luò)身份驗證，這會向用戶試圖訪問的任何網(wǎng)絡(luò)服務(wù)確認(rèn)用戶的身份 。
一旦用戶帳戶經(jīng)過身份驗證并可訪問對象時，要么是分配至該用戶的權(quán)力要么就是附加于對象的許可來決定所授予的訪問權(quán)限的類型 。至于域中的對象，該對象類型的對象管理器會實施訪問控制 。例如，注冊表會對注冊表項實施訪問控制 。
本節(jié)后面會更為詳盡地描述 Windows 2000 身份驗證過程及訪問控制規(guī)定 。
身份驗證
用戶在 Active Directory 中必須有一個 Windows 2000 用戶帳戶，以登錄到計算機(jī)或域中 。此帳戶會為用戶創(chuàng)建一個身份，然后操作系統(tǒng)會使用此身份驗證用戶的身份并授予訪問特定域資源的權(quán)限 。
用戶帳戶還可用作一些應(yīng)用程序的服務(wù)帳戶 。也就是說，服務(wù)可被配置成以用戶帳戶登錄（身份驗證），然后通過該用戶帳戶授予對特定網(wǎng)絡(luò)資源的訪問權(quán)限 。

推薦閱讀

• 

  殺手3ema臥室線索怎么搜集 殺手3ema臥室線索搜集指南
• 

  為什么大多數(shù)魚是近視眼？
• 

  沒有勇氣說不的根本原因是
• 

  千里香是什么植物的種子 千里香香料是什么植物
• 

  男朋友吃醋了我該說什么
• 

  世界上最罕見的水晶
• 

  英雄聯(lián)盟首勝時間間隔是多少
• 

  電腦藍(lán)屏后應(yīng)該做什么
• 

  紫禁城的四座城門分別是 紫禁城有哪四個城門
• 

  空調(diào)制冷功率是什么意思 空調(diào)制冷功率的含義
• 

  華為暢享20SE發(fā)布時間，這款手機(jī)什么時候發(fā)布？
• 

  買布頭做衣服 布頭做衣服怎么樣
• 

  sennheiser耳機(jī)，森海塞爾的耳機(jī)怎么樣
• 

  狗青光眼用什么眼藥水,狗眼眼藥水有什么用
• 

  成人大專一年考幾次
• 

  zhiwei，什么叫l(wèi)ove的zhiwei

• Windows 2000 安全性技術(shù)概述--2
• 藍(lán)色警報――解決Win 2000/XP的藍(lán)屏陷阱
• 淺析Win 2000系統(tǒng)中的關(guān)機(jī)技巧
• 教程/win2000 輸入法學(xué)習(xí)之一：了解字符集
• Windows 2000權(quán)限疊加―談NC機(jī)房安全隱患
• Windows98/2000安裝與卸載技巧
• 用Win2000 Server自動分配IP地址
• Windows 2000操作技巧完全手冊
• Windows 2000操作系統(tǒng)共享上網(wǎng)完全攻略
• 淺析Win 2000中的NTLM安全策略