【IT168 专稿】在许多企业中,有关身份和访问控制的管理都被排在一个优先级很高的地位,因为随着企业结构的日益复杂,员工需要使用不同类型的设备访问公司网络系统和资源。然而又由于很多系统之间并没有连接起来,所以同一个用户往往要保存多种验证凭证。维护这些多样的凭证将是一件复杂、费时的事情,同时如果管理不当,也会增加安全隐患。
对此,微软并非无动于衷,无论是SSO,还是ADFS,都是针对这一问题的技术改进,微软并将这些技术统一为身份和访问控制解决方案,用于帮助组织管理用户的身份验证和相关权限。在解决安全和易用性等问题的同时,该方案还能帮助企业提升自身的生产力,降低IT开销,减少身份和访问控制的复杂性,而在即将面世的Longhorn Server中,这方面会得到更全面的增强——微软Longhorn Server 和 Windows Vista 在微软身份和访问控制解决方案的基础上,增加了许多新的特性和技术来帮助组织提高运行效率,加固安全性能。总的来说,新的解决方案的功能主要集中在以下三个方面:
- 新的目录服务
- 增强的验证方式
- 新的信息保护方式
|
活动目录是Windows平台的一个核心的部件,活动目录服务提供了一种管理组成网络环境的各种对象的标志和关系的方法。Windows Server系统使得活动目录能够更为简单地管理、迁移和部署。同时活动目录的目录服务提供了单一登录的能力,并且为整个网络架构提供了一个集中的信息知识库,大大地简化了用户和计算机的管理,并提供了更好的网络资源访问方式。
从Windows 2000 Server中首次引入,到Windows Server 2003得到完善,越来越多的企业开始规划自己的目录结构,面对更加多样的应用场景,新一代的Longhorn Server目录服务提供了更加灵活、更加安全的功能特性。其中包括:解决分支机构安全问题的只读域控制器,增强管理力度的目录服务审核,降低管理风险的服务器核心角色,以及全新的服务架构等特性。下面我们逐一加以介绍:
 |
1)只读域控制器
在Longhorn Server的Active Directory Domain Services (ADDS)中,最重要的一项改进就是只读域控制器(RODC)。一个只读域控制器允许用户简单的部署一台挂接了只读域数据库的域控制器,这样的部署将非常适合于那些物理环境无法有效保护域控制器安全的场合,如企业的分支机构。
一个只读域控制器上存储着与可写域控制器相同的所有对象和属性,然而只读域控制器却没有本地修改的权限,这些改变必须经由一个可写的域控制器来完成,然后将它复制到只读域控制器上,这样的设计有效的避免了AD森林中由于域控制器之间的复制可能造成的风险。
管理员同时也可以配置一台只读域控制器来存储用户凭证的缓存(cache),通过缓存技术,提高了分支机构用户的生产效率,减少了身份验证过程中经由慢速链路(WAN)所产生的延迟。同时ADDS还维护了一套只读域控制器上完整的用户凭证的列表,一旦一台只读域控制器出现了问题,管理员只需要为只读域控制器上存储的所有用户做一次密码重置就可以排除可能出现的安全隐患。
2)目录服务审核
管理员现在拥有一个全新的目录服务更改审核策略子类,这个审核策略将会捕获到全部的目录对象的变化,以及它们的属性的变化。管理员可以清晰的知道谁,在什么时间,对那些对象或者是属性进行了修改,并且还可以看到这些数据的开始值和结束值。
目录服务审核将在Windows 的事件日志中体现出来,当然用户也可以将这个策略与Microsoft Operations Manager或者其他的第三方工具联合在一起使用,这些详细的审核信息将大大简化企业内针对目录服务跟踪管理的工作量,同时也将提升组织内部的审核监管能力。
3)服务器核心角色
服务器核心角色(Server Core role)是Longhorn Server 中一种全新的安装选项,它旨在通过一个非常简单的管理界面来维护特定的基于角色的服务,ADDS和活动目录轻量目录服务(Active Directory Lightweight Directory Services)都被包含在服务器核心角色版本中,通过这一版本用户可以降低管理和服务的要求,从而降低在Windows Server “Longhorn”安装过程中针对管理层面的攻击。
4)基于服务的ADDS
ADDS在Longhorn Server中是基于服务的,它可以通过微软管理控制台(MMC)以及命令行的方式开启或者关闭。基于服务的ADDS通过降低离线操作的时间简化管理,例如离线的磁盘碎片整理或者是备份操作。该功能也增强了其他服务的能力,例如那些在域控制器上需要保持激活状态才可以进行的ADDS维护。而当域控制宕机的时候,用户也可以通过发现操作快捷的连接到其他的域控制器上。
