三、活動(dòng)目錄集成DNS 區(qū)域

　　在 windows 2000下活動(dòng)目錄與DDNS集成，因此實(shí)現(xiàn)活動(dòng)目錄安全第一步是實(shí)現(xiàn) DDNS的安全。

　　1．文件系統(tǒng)

　　使用NTFS。windows 2000 的版本是 NTFS v5，此版本允許設(shè)置文件和文件夾的安全、加密文件系統(tǒng)和審核。NTFS v5 不與先前的NTFS兼容。在安裝了Service Pack 4 或更高版本的NT4.0上只能讀取NTFS v5。

　　NTFS通過設(shè)置文件夾和文件級(jí)別訪問權(quán)限來限制網(wǎng)絡(luò)或本地對(duì)文件的訪問。

　　NTFS和共享權(quán)限可以被用來非常精確的控制權(quán)限和繼承關(guān)系。
　　
　　2．注冊(cè)表

　　使用注冊(cè)表編輯器編輯DACL關(guān)系到每一個(gè)注冊(cè)表的配置單元。細(xì)節(jié)問題可以參考SANS出版的"Windows NT Security, Step-by-Step"。

　　3．Enterprise管理員和Schema管理員組

　　在Windows2000網(wǎng)絡(luò)建立之后，限制訪問這兩個(gè)管理員組。這些組出現(xiàn)在根域下并且有最高的權(quán)限。根據(jù)域的結(jié)構(gòu)，管理可以被委派到域結(jié)構(gòu)，因此管理可以被限制到單個(gè)域。

　　4．加密文件系統(tǒng)

　　Windows2000的NTFS提供了使用加密文件系統(tǒng)的選擇。EFS使用基于公共密鑰的技術(shù)來進(jìn)一步限制文件的未授權(quán)訪問。

　　5．活動(dòng)目錄中的DNS

　　DNS的安裝將擴(kuò)展活動(dòng)目錄的架構(gòu)，包含了DNSUpdateProxy組。這是一個(gè)非常強(qiáng)大的組，它允許創(chuàng)建對(duì)象，這是不安全的，當(dāng)這種情況發(fā)生時(shí)，任何授權(quán)用戶可以獲得這些對(duì)象的所有權(quán)。

　　DNS中客戶端的A記錄和PTR記錄會(huì)在DHCP處理進(jìn)程中進(jìn)行更新，這在上面有詳細(xì)地?cái)⑹觥．?dāng)客戶和服務(wù)器都是Windows2000時(shí)，安全動(dòng)態(tài)更新可以通過默認(rèn)安裝來完成，當(dāng)有其它的用戶需要支持時(shí)，安全動(dòng)態(tài)更新不能完成，除非DHCP服務(wù)器被加入到了DNSUpdateProxy組，加入DNSUpdateProxy組后，允許DHCP服務(wù)器為早期的客戶端執(zhí)行動(dòng)態(tài)更新。

　　如果DHCP服務(wù)運(yùn)行在一個(gè)域控制器時(shí)，需要特別考慮的是，添加DHCP服務(wù)器到DNSUpdateProxy組，將允許所有用戶或計(jì)算機(jī)完全控制相應(yīng)域控制器的DNS記錄。

　　6．資源記錄的所有權(quán)

　　DHCP服務(wù)器不能在早期的客戶端上執(zhí)行安全動(dòng)態(tài)更新，這在Windows2000網(wǎng)絡(luò)中是非常重要的。如果這種情況發(fā)生，會(huì)出現(xiàn)不能完全更新活動(dòng)記錄的情況。例如，一個(gè)NT4.0的客戶端通過DHCP服務(wù)器在DNS中注冊(cè)了一個(gè)名字，當(dāng)這臺(tái)機(jī)器被升級(jí)到Windows2000時(shí)，這個(gè)名字保持不變。DHCP服務(wù)器因其最先注冊(cè)了這個(gè)名字而擁有這個(gè)名字的資源記錄所有權(quán)，所以windows 2000客戶不能更新它自己的名字。

　　7．WINS查找

　　作為Windows2000最終的告誡，我將翻譯說明為什么WINS將是windows 2000網(wǎng)絡(luò)中最可能需要的部分。為什么呢？對(duì)所有非Windows2000客戶，NetBios解析仍是必需的。同樣，所有需要NetBios的程序也將需要WINS來做名字解析。WINS通過兩個(gè)特定的資源記錄直接集成到了DNS中：WINS和WINS-R。這分別為WINS做正向和反向記錄查找。

　　四、結(jié)論

　　總之，理解Windows2000使用DNS的過程是非常重要的。在文章的1.0部分"安全動(dòng)態(tài)更新"和2.0部分"區(qū)域"中有了一個(gè)簡(jiǎn)述。理解Windows2000的"gotcha's"和"caveats"也是非常重要的。3.0部分活動(dòng)目錄集成DNS區(qū)域列舉了相關(guān)的項(xiàng)目。