為了向后兼容性，在 Windows 2000 中，信任關(guān)系通過(guò)使用 Kerberos V5 協(xié)議及 NTLM 身份驗(yàn)證（描述如下）支持跨域的身份驗(yàn)證。這一點(diǎn)很重要，因?yàn)樵S多組織的基于 Windows NT 的企業(yè)域模型非常復(fù)雜，具有多個(gè)主域和許多資源域，而這些組織發(fā)現(xiàn)管理資源域和其主帳戶域間的信任關(guān)系既花費(fèi)成本又非常復(fù)雜。因?yàn)榛��?Windows 2000 的域目錄樹(shù)支持傳遞信任目錄樹(shù)，它簡(jiǎn)化了較大型組織的網(wǎng)絡(luò)域集成及管理。不過(guò)請(qǐng)注意，對(duì)于 ACL 不同意授予某些權(quán)限的人，傳遞信任不會(huì)自動(dòng)將這些權(quán)限指派給他（或她）。傳遞信任讓管理員更容易定義和配置訪問(wèn)權(quán)限。

使用組策略管理安全性

組策略設(shè)置是配置設(shè)置，管理者可用此設(shè)置來(lái)控制 Actove Directory 中對(duì)象的各種行為。“組策略”是 Active Directory 一項(xiàng)顯著的功能，它讓您以相同的方式將所有類型的策略應(yīng)用到眾多計(jì)算機(jī)上。例如，可以使用“組策略”來(lái)
配置安全性選項(xiàng)，管理應(yīng)用程序，管理桌面外觀，指派腳本，以及將文件夾從本地計(jì)算機(jī)重新定向到網(wǎng)絡(luò)位置。系統(tǒng)將“組策略”設(shè)置在計(jì)算機(jī)激活時(shí)應(yīng)用于計(jì)算機(jī)，在用戶登錄時(shí)應(yīng)用于用戶。

可以將“組策略”配置設(shè)置與三個(gè) Active Directory 容器相關(guān)聯(lián)：組織單元 (OU)、域或站點(diǎn)。與給定的容器相關(guān)的“組策略”設(shè)置不是影響該容器中所有的用戶或計(jì)算機(jī)，就是影響該容器中特定的對(duì)象集合。

可以使用“組策略”來(lái)定義廣泛的安全性策略。域級(jí)策略應(yīng)用于域中的所有用戶并包含如帳戶策略等的信息 - 例如，最短密碼長(zhǎng)度或用戶多久該更改密碼一次。可以指定在較低級(jí)別是否可改寫這些設(shè)置。

在使用“組策略”功能來(lái)應(yīng)用廣泛的策略后，可以進(jìn)一步細(xì)化個(gè)別 PC 上的安全性設(shè)置。本地計(jì)算機(jī)安全性設(shè)置控制您想要授予特定用戶或計(jì)算機(jī)的權(quán)限和特權(quán)。例如可以指定誰(shuí)可在服務(wù)器上進(jìn)行備份和還原、或希望審核桌上型計(jì)算機(jī)的數(shù)據(jù)訪問(wèn)量。

特定計(jì)算機(jī)的設(shè)置是從域到 OU 所有策略設(shè)置的組合。例如，在上面的圖 1 中，Europe.Microsoft.com 域中用戶的設(shè)置
是 Microsoft.com 域、Europe.Microsoft.com 域及域中所有 OU 上設(shè)置的所有策略的集合。

身份驗(yàn)證和訪問(wèn)控制

身份驗(yàn)證是系統(tǒng)安全性的基本方面。身份驗(yàn)證是用來(lái)確認(rèn)任何試圖登錄到域或訪問(wèn)網(wǎng)絡(luò)資源的用戶的身份。Windows 2000 身份驗(yàn)證過(guò)程是使單一登錄可訪問(wèn)所有網(wǎng)絡(luò)資源的過(guò)程的一部分。使用單一登錄，用戶可以用單一密碼或智能卡登錄到域中一次，并可對(duì)域中任何計(jì)算機(jī)進(jìn)行身份驗(yàn)證。

在基于 Windows 2000 的計(jì)算環(huán)境中，成功的用戶身份驗(yàn)證是由兩個(gè)單獨(dú)的過(guò)程組成的： 互動(dòng)式登錄，這會(huì)向域帳戶或本地計(jì)算機(jī)確認(rèn)用戶的身份；以及網(wǎng)絡(luò)身份驗(yàn)證，這會(huì)向用戶試圖訪問(wèn)的任何網(wǎng)絡(luò)服務(wù)確認(rèn)用戶的身份。

一旦用戶帳戶經(jīng)過(guò)身份驗(yàn)證并可訪問(wèn)對(duì)象時(shí)，要么是分配至該用戶的權(quán)力要么就是附加于對(duì)象的許可來(lái)決定所授予的訪問(wèn)權(quán)限的類型。至于域中的對(duì)象，該對(duì)象類型的對(duì)象管理器會(huì)實(shí)施訪問(wèn)控制。例如，注冊(cè)表會(huì)對(duì)注冊(cè)表項(xiàng)實(shí)施訪問(wèn)控制。

本節(jié)后面會(huì)更為詳盡地描述 Windows 2000 身份驗(yàn)證過(guò)程及訪問(wèn)控制規(guī)定。

身份驗(yàn)證

用戶在 Active Directory 中必須有一個(gè) Windows 2000 用戶帳戶，以登錄到計(jì)算機(jī)或域中。此帳戶會(huì)為用戶創(chuàng)建一個(gè)身份，然后操作系統(tǒng)會(huì)使用此身份驗(yàn)證用戶的身份并授予訪問(wèn)特定域資源的權(quán)限。

用戶帳戶還可用作一些應(yīng)用程序的服務(wù)帳戶。也就是說(shuō)，服務(wù)可被配置成以用戶帳戶登錄（身份驗(yàn)證），然后通過(guò)該用戶帳戶授予對(duì)特定網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限。

就像用戶帳戶一樣，Windows 2000 計(jì)算機(jī)帳戶提供一種方法來(lái)進(jìn)行身份驗(yàn)證以及審核計(jì)算機(jī)對(duì)網(wǎng)絡(luò)的訪問(wèn)權(quán)限以及對(duì)域資源的訪問(wèn)權(quán)限。每一臺(tái)您想要授予訪問(wèn)資源權(quán)限的基于 Windows 2000 計(jì)算機(jī)都必須有一個(gè)唯一的計(jì)算機(jī)帳戶。

注意 運(yùn)行 Windows 98 和 Windows 95 的計(jì)算機(jī)沒(méi)有那些運(yùn)行 Windows 2000 和 Windows NT 的計(jì)算機(jī)所擁有的高級(jí)安全功能，并且在基于 Windows 2000 的域中不能被指派計(jì)算機(jī)帳戶。不過(guò)，您可以登錄網(wǎng)絡(luò)并在 Active Directory 域中使用基于 Windows 98 和 Windows 95 的計(jì)算機(jī)。

Windows 2000 支持多重身份驗(yàn)證機(jī)制以供用戶在進(jìn)入網(wǎng)絡(luò)時(shí)證明自己的身份。在使用 Extranet 和電子商務(wù)應(yīng)用程序來(lái)延伸您的網(wǎng)絡(luò)到公司外的用戶時(shí)，這個(gè)機(jī)制就非常重要。

當(dāng)用戶進(jìn)入網(wǎng)絡(luò)時(shí)，用戶必須提供身份驗(yàn)證信息以便安全系統(tǒng)身份驗(yàn)證其身份，之后再?zèng)Q定要允許該用戶以什么權(quán)限（如果有的話）訪問(wèn)網(wǎng)絡(luò)資源。Kerberos 身份驗(yàn)證協(xié)議（描述如下）用來(lái)驗(yàn)證您公司中的 Windows 2000 用戶的身份。當(dāng)將系統(tǒng)延伸到合作伙伴、供貨商和 Internet 上的客戶時(shí)，您必須支持多種方法讓您公司以外的用戶證明他們的身份。

為了幫助您滿足這種需求，Windows 2000 支持?jǐn)?shù)種產(chǎn)業(yè)標(biāo)準(zhǔn)身份驗(yàn)證機(jī)制，包括 X.509 證書、智能卡和 Kerberos 協(xié)議。此外，Windows 2000 還支持在 Windows 中使用多年的 NTLM 協(xié)議，并為開(kāi)發(fā)生物身份驗(yàn)證機(jī)制的廠商提供接口。