三、活動目錄集成DNS 區(qū)域

　　在 windows 2000下活動目錄與DDNS集成，因此實現(xiàn)活動目錄安全第一步是實現(xiàn) DDNS的安全。

　　1．文件系統(tǒng)

　　使用NTFS。windows 2000 的版本是 NTFS v5，此版本允許設(shè)置文件和文件夾的安全、加密文件系統(tǒng)和審核。NTFS v5 不與先前的NTFS兼容。在安裝了Service Pack 4 或更高版本的NT4.0上只能讀取NTFS v5。

　　NTFS通過設(shè)置文件夾和文件級別訪問權(quán)限來限制網(wǎng)絡(luò)或本地對文件的訪問。

　　NTFS和共享權(quán)限可以被用來非常精確的控制權(quán)限和繼承關(guān)系。
　　
　　2．注冊表

　　使用注冊表編輯器編輯DACL關(guān)系到每一個注冊表的配置單元。細節(jié)問題可以參考SANS出版的"Windows NT Security, Step-by-Step"。

　　3．Enterprise管理員和Schema管理員組

　　在Windows2000網(wǎng)絡(luò)建立之后，限制訪問這兩個管理員組。這些組出現(xiàn)在根域下并且有最高的權(quán)限。根據(jù)域的結(jié)構(gòu)，管理可以被委派到域結(jié)構(gòu)，因此管理可以被限制到單個域。

　　4．加密文件系統(tǒng)

　　Windows2000的NTFS提供了使用加密文件系統(tǒng)的選擇。EFS使用基于公共密鑰的技術(shù)來進一步限制文件的未授權(quán)訪問。

　　5．活動目錄中的DNS

　　DNS的安裝將擴展活動目錄的架構(gòu)，包含了DNSUpdateProxy組。這是一個非常強大的組，它允許創(chuàng)建對象，這是不安全的，當(dāng)這種情況發(fā)生時，任何授權(quán)用戶可以獲得這些對象的所有權(quán)。

　　DNS中客戶端的A記錄和PTR記錄會在DHCP處理進程中進行更新，這在上面有詳細地敘述。當(dāng)客戶和服務(wù)器都是Windows2000時，安全動態(tài)更新可以通過默認(rèn)安裝來完成，當(dāng)有其它的用戶需要支持時，安全動態(tài)更新不能完成，除非DHCP服務(wù)器被加入到了DNSUpdateProxy組，加入DNSUpdateProxy組后，允許DHCP服務(wù)器為早期的客戶端執(zhí)行動態(tài)更新。

　　如果DHCP服務(wù)運行在一個域控制器時，需要特別考慮的是，添加DHCP服務(wù)器到DNSUpdateProxy組，將允許所有用戶或計算機完全控制相應(yīng)域控制器的DNS記錄。

　　6．資源記錄的所有權(quán)

　　DHCP服務(wù)器不能在早期的客戶端上執(zhí)行安全動態(tài)更新，這在Windows2000網(wǎng)絡(luò)中是非常重要的。如果這種情況發(fā)生，會出現(xiàn)不能完全更新活動記錄的情況。例如，一個NT4.0的客戶端通過DHCP服務(wù)器在DNS中注冊了一個名字，當(dāng)這臺機器被升級到Windows2000時，這個名字保持不變。DHCP服務(wù)器因其最先注冊了這個名字而擁有這個名字的資源記錄所有權(quán)，所以windows 2000客戶不能更新它自己的名字。

　　7．WINS查找

　　作為Windows2000最終的告誡，我將翻譯說明為什么WINS將是windows 2000網(wǎng)絡(luò)中最可能需要的部分。為什么呢？對所有非Windows2000客戶，NetBios解析仍是必需的。同樣，所有需要NetBios的程序也將需要WINS來做名字解析。WINS通過兩個特定的資源記錄直接集成到了DNS中：WINS和WINS-R。這分別為WINS做正向和反向記錄查找。

　　四、結(jié)論

　　總之，理解Windows2000使用DNS的過程是非常重要的。在文章的1.0部分"安全動態(tài)更新"和2.0部分"區(qū)域"中有了一個簡述。理解Windows2000的"gotcha's"和"caveats"也是非常重要的。3.0部分活動目錄集成DNS區(qū)域列舉了相關(guān)的項目。