為了向后兼容性，在 Windows 2000 中，信任關(guān)系通過使用 Kerberos V5 協(xié)議及 NTLM 身份驗證（描述如下）支持跨域的身份驗證。這一點很重要，因為許多組織的基于 Windows NT 的企業(yè)域模型非常復(fù)雜，具有多個主域和許多資源域，而這些組織發(fā)現(xiàn)管理資源域和其主帳戶域間的信任關(guān)系既花費成本又非常復(fù)雜。因為基于 Windows 2000 的域目錄樹支持傳遞信任目錄樹，它簡化了較大型組織的網(wǎng)絡(luò)域集成及管理。不過請注意，對于 ACL 不同意授予某些權(quán)限的人，傳遞信任不會自動將這些權(quán)限指派給他（或她）。傳遞信任讓管理員更容易定義和配置訪問權(quán)限。

使用組策略管理安全性

組策略設(shè)置是配置設(shè)置，管理者可用此設(shè)置來控制 Actove Directory 中對象的各種行為。“組策略”是 Active Directory 一項顯著的功能，它讓您以相同的方式將所有類型的策略應(yīng)用到眾多計算機上。例如，可以使用“組策略”來
配置安全性選項，管理應(yīng)用程序，管理桌面外觀，指派腳本，以及將文件夾從本地計算機重新定向到網(wǎng)絡(luò)位置。系統(tǒng)將“組策略”設(shè)置在計算機激活時應(yīng)用于計算機，在用戶登錄時應(yīng)用于用戶。

可以將“組策略”配置設(shè)置與三個 Active Directory 容器相關(guān)聯(lián)：組織單元 (OU)、域或站點。與給定的容器相關(guān)的“組策略”設(shè)置不是影響該容器中所有的用戶或計算機，就是影響該容器中特定的對象集合。

可以使用“組策略”來定義廣泛的安全性策略。域級策略應(yīng)用于域中的所有用戶并包含如帳戶策略等的信息 - 例如，最短密碼長度或用戶多久該更改密碼一次�？梢灾付ㄔ谳^低級別是否可改寫這些設(shè)置。

在使用“組策略”功能來應(yīng)用廣泛的策略后，可以進(jìn)一步細(xì)化個別 PC 上的安全性設(shè)置。本地計算機安全性設(shè)置控制您想要授予特定用戶或計算機的權(quán)限和特權(quán)。例如可以指定誰可在服務(wù)器上進(jìn)行備份和還原、或希望審核桌上型計算機的數(shù)據(jù)訪問量。

特定計算機的設(shè)置是從域到 OU 所有策略設(shè)置的組合。例如，在上面的圖 1 中，Europe.Microsoft.com 域中用戶的設(shè)置
是 Microsoft.com 域、Europe.Microsoft.com 域及域中所有 OU 上設(shè)置的所有策略的集合。

身份驗證和訪問控制

身份驗證是系統(tǒng)安全性的基本方面。身份驗證是用來確認(rèn)任何試圖登錄到域或訪問網(wǎng)絡(luò)資源的用戶的身份。Windows 2000 身份驗證過程是使單一登錄可訪問所有網(wǎng)絡(luò)資源的過程的一部分。使用單一登錄，用戶可以用單一密碼或智能卡登錄到域中一次，并可對域中任何計算機進(jìn)行身份驗證。

在基于 Windows 2000 的計算環(huán)境中，成功的用戶身份驗證是由兩個單獨的過程組成的： 互動式登錄，這會向域帳戶或本地計算機確認(rèn)用戶的身份；以及網(wǎng)絡(luò)身份驗證，這會向用戶試圖訪問的任何網(wǎng)絡(luò)服務(wù)確認(rèn)用戶的身份。

一旦用戶帳戶經(jīng)過身份驗證并可訪問對象時，要么是分配至該用戶的權(quán)力要么就是附加于對象的許可來決定所授予的訪問權(quán)限的類型。至于域中的對象，該對象類型的對象管理器會實施訪問控制。例如，注冊表會對注冊表項實施訪問控制。

本節(jié)后面會更為詳盡地描述 Windows 2000 身份驗證過程及訪問控制規(guī)定。

身份驗證

用戶在 Active Directory 中必須有一個 Windows 2000 用戶帳戶，以登錄到計算機或域中。此帳戶會為用戶創(chuàng)建一個身份，然后操作系統(tǒng)會使用此身份驗證用戶的身份并授予訪問特定域資源的權(quán)限。

用戶帳戶還可用作一些應(yīng)用程序的服務(wù)帳戶。也就是說，服務(wù)可被配置成以用戶帳戶登錄（身份驗證），然后通過該用戶帳戶授予對特定網(wǎng)絡(luò)資源的訪問權(quán)限。

就像用戶帳戶一樣，Windows 2000 計算機帳戶提供一種方法來進(jìn)行身份驗證以及審核計算機對網(wǎng)絡(luò)的訪問權(quán)限以及對域資源的訪問權(quán)限。每一臺您想要授予訪問資源權(quán)限的基于 Windows 2000 計算機都必須有一個唯一的計算機帳戶。

注意 運行 Windows 98 和 Windows 95 的計算機沒有那些運行 Windows 2000 和 Windows NT 的計算機所擁有的高級安全功能，并且在基于 Windows 2000 的域中不能被指派計算機帳戶。不過，您可以登錄網(wǎng)絡(luò)并在 Active Directory 域中使用基于 Windows 98 和 Windows 95 的計算機。

Windows 2000 支持多重身份驗證機制以供用戶在進(jìn)入網(wǎng)絡(luò)時證明自己的身份。在使用 Extranet 和電子商務(wù)應(yīng)用程序來延伸您的網(wǎng)絡(luò)到公司外的用戶時，這個機制就非常重要。

當(dāng)用戶進(jìn)入網(wǎng)絡(luò)時，用戶必須提供身份驗證信息以便安全系統(tǒng)身份驗證其身份，之后再決定要允許該用戶以什么權(quán)限（如果有的話）訪問網(wǎng)絡(luò)資源。Kerberos 身份驗證協(xié)議（描述如下）用來驗證您公司中的 Windows 2000 用戶的身份。當(dāng)將系統(tǒng)延伸到合作伙伴、供貨商和 Internet 上的客戶時，您必須支持多種方法讓您公司以外的用戶證明他們的身份。

為了幫助您滿足這種需求，Windows 2000 支持?jǐn)?shù)種產(chǎn)業(yè)標(biāo)準(zhǔn)身份驗證機制，包括 X.509 證書、智能卡和 Kerberos 協(xié)議。此外，Windows 2000 還支持在 Windows 中使用多年的 NTLM 協(xié)議，并為開發(fā)生物身份驗證機制的廠商提供接口。