. j4 A B/ w0 s# }6 t' m+ g) W Windows的磁盘配额是根据所有者属性计算的,授予其他人所有者权限的功能简化了磁盘配额的管理。例如,管理员应用户的要求创建了新的文件(例如复制一些文件,或安装新的软件),使得管理员成为新文件的所有者,即新文件占用的磁盘空间不计入用户的磁盘配额限制。以前,要解决这个问题必须经过繁琐的配置修改,或者必须使用第三方工具。现在Windows Server 2003直接在用户界面中提供了设置所有者的功能,这类有关磁盘配额的问题可以方便地解决了(对于使用NTFS文件系统的任何类型的操作系统都有效,包括Windows NT 4.0、2000和XP Pro,只要修改是在Windows Server 2003上进行就可以了)。 8 }# H; r! g6 g' Z! X , ~6 ?$ e* E( D& q7 {0 W 值得一提的是,这个功能(有效权限和授予所有者权限)对于从Windows Server 2003管理的活动目录对象也同样有效。 3 x2 N4 }$ \3 {& Z* d9 a
' ?/ e9 U) ]' ~+ x! X. k三、Windows服务配置 ! e" v* D3 m& @1 x+ p. x6 g8 ] 9 P# T: i z5 z# {( t1 x0 N Windows服务配置方面的变化可分成两类,请参见图4的Windows Server 2003服务管理工具。 5 i- D0 e( T( n$ q8 A
% q" m& Y( P) H# l$ y
2 o3 g9 |' c, I1 Y: U A
( W( A, ^/ B% e8 F. j1 Q
/ E; r6 H4 h, g' d+ n& ^0 B
图4- A1 j2 P: y1 e- N4 u
# F6 }) C- R0 E! r2 s
/ B" |/ I: Z; H, ^ ㈠ 启动类型。几种最容易受到攻击的服务,诸如Clipbook(启用“剪贴簿查看器”储存信息并与远程计算机共享)、Network DDE以及Network DDE DSDM(前者的功能是为在同一台计算机或不同计算机上运行的程序提供动态数据交换(DDE)的网络传输和安全;后者用于管理动态数据交换网络共享)、Telnet、WebClient(使基于Windows的程序能创建、访问和修改基于Internet的文件)等,默认情况下已经被禁止了。还有一些服务只有在必要时才启用,例如Intersite Messaging(启用在运行Windows Server的站点间交换消息)只有在域控制器提升时才启用,Routing and Remote Access Service(为网络上的客户端和服务器启用多重协议——LAN到LAN,LAN到WAN,虚拟专用网络(VPN)和网络地址转换(NAT)路由服务)只有在配置Windows Server 2003作为路由器、按需拨号的服务器、远程访问服务器时才启用。 # [/ d# w5 D2 `! k7 z. h3 @9 n& P5 d7 Q! t5 X8 Y6 p
㈡ 运行在Local System安全上下文之下的服务变少了,因为Local System具有不受限制的本地特权。现在,许多情况下,Local System被Local Service或Network Service帐户取代,这两个帐户都只有稍高于授权用户的特权。正如其名字所示的,Local Service帐户用于本地系统的服务,它类似于已验证的用户帐户的特殊内置帐户。Local Service帐户对于资源和对象的访问级别与Users组的成员相同。如果单个服务或进程受到危害,则通过上述受限制的访问将有助于保护系统。以Local Service帐户运行的服务作为空会话,而且不使用任何凭据访问网络资源。 / C l3 r! T# S8 Q0 r. ?6 `! Y7 V" _7 b2 V; p$ q0 a) {+ \
相对地,Network Service则被用于必须要有网络访问的服务,它对于资源和对象的访问级别也与Users组的成员相同,以Network Service帐户来运行的服务将使用计算机帐户的凭据来访问网络资源。 ( R2 ?9 y8 T1 v# x d, O5 d. k. ~. ]2 x4 `3 C: r/ M( k; J9 h
四、身分验证 ) E2 v5 O+ G5 B& J' J . ~) h/ p) V% {" Q8 l$ C8 ^. } 身分验证方面的增强涵盖了基于本地系统的身份验证和基于活动目录域的身份验证。 l. B5 y$ Q' o. `" i7 o+ m& }& J9 x* z
3 U$ ~" A. l. q2 g; q 在本地系统验证方面,默认的设置限制不带密码的本地帐户只能用于控制台。这就是说,不带密码的帐户将不能再用于远程系统的访问,例如驱动器映射、远程桌面/远程协助连接。 1 q7 M* h, n8 p0 F7 s( E2 F0 X' B" U' h1 i2 u) v
活动目录验证的变化在跨越林的信任方面特别突出。跨越林的信任功能允许在林的根域之间创建基于Kerberos的信任关系(要求两个林都运行在Windows 2003功能级别上)。在 Windows Server 2003林中,管理员可创建一个林,将单个林范围外的双向传递性扩展到另外一个Windows Server 2003林中。在Windows Server 2003林中,这种跨越将两个断开连接的Windows Server 2003林链接起来建立单向或双向可传递信任关系。双向林信任用于在两个林中的每个域之间建立可传递的信任关系。 , N7 j8 W& T5 f1 L: C
( _& M+ b, L8 p* J9 [7 k* U# V 林信任具有许多优点: - Y/ ]" b4 w# u7 [ + _! B. C' V6 q7 j; N5 f i: ? ⑴ 通过减少共享资源所需的外部信任数,使得跨越两个 Windows Server 2003林的资源的管理得以简化。 0 Z/ [6 e+ |+ ~' V6 o( b) t; v5 ^! \* [- f
⑵ 每个林中每个域之间的完全的双向信任关系。 + b7 [- r, j! y6 l1 M0 T2 S* F3 B
⑶ 使用跨越两个林的用户主体名称(UPN)身份验证。 6 D8 ~. K1 N. Y' T$ S9 X
0 F4 T+ I l v( z( J& n ⑷ 使用Kerberos V5和NTLM身份验证协议,提高了林之间传递的授权数据的可信度。 k6 \6 j( Y# R; U7 w" U8 L$ w6 q; u! ^, b! e3 f. P% h* x4 u
⑸ 灵活的管理。每个林的管理任务可以是唯一的。 $ B# N/ R, g" U. i" ^% {/ K. i6 Y/ X, m* L: y' o2 t" Q* [
林信任只能在两个林之间创建,不能隐式扩展到第三个林。也就是说,如果在林1和林2之间创建了一个林信任,在林2和林3之间也创建了一个林信任,则林1和林3之间没有隐式信任关系。 1 y1 Q8 I% `0 |) n2 v ?; S" o. \; ?: H 7 p8 @" l, v# A, { 注意:在Windows 2000林中,如果一个林中的用户需要访问另一个林中的资源,管理员可在两个域之间创建外部信任关系。外部信任可以是单向或双向的非传递信任,因此限制了信任路径扩展到其他域的能力。但在Windows Server 2003 Active Directory中,默认情况下,新的外部信任和林信任强制SID筛选。SID筛选用于防止可能试图将提升的用户权限授予其他用户帐户的恶意用户的攻击。强制SID筛选不会阻止同一林中的域迁移使用SID历史记录,而且也不会影响全局组的访问控制策略。 " x! R; j, U2 }$ \
. W8 q9 U# C! s$ d' S
在默认配置下,身分验证是在林的级别上进行的,来自其他林的责任人将被授予与本地用户和计算机同样的访问能力。但无论是谁,都受到设置在资源上的权限的约束。 9 d* ^; n5 e! P+ A4 C+ b6 G
! L8 ?+ U8 {0 j 如果上述默认配置不能满足要求,你可以配置选择性验证,不过这要有Windows 2003的林功能级别。在这种配置方式中,你可以指定哪些来自其他林的用户或组允许通过验证,以及选择本地林的哪些资源可用来执行验证。具体设置分两步进行。 - l! J" ?6 \0 A! J8 O
- q& ~! B4 T c& ?& w
第一步是授予来自其他林的责任人允许验证的权限。例如,假设有两个Windows 2003功能级别的林ForestA和ForestB,两者之间有信任关系。ForestA中DomainA域的UserA用户需要访问ForestB中DomainB域ServerB服务器的ShareB共享资源。要达到这个目标,必须按如下方式操作: ' H) l1 E0 Z8 z