Windows 2000中的信息网络安全技术

随着信息技术和网络技术的发展，特别是Internet的不断普及，如何防止信息不被非法截获和破坏，即有效维护网络信息的安全性，成为越来越多的人关注的焦点。作为新一代的操作系统的Windows

2000，可通过多种技术和手段来控制用户对资源的访问，提高网络的安全性，其中包括与活动目录（Active Directory）服务的集成、支持认证Windows 2000用户的Kerberos v5认证协议、提供了公钥基础设施PKI支持，用公钥证书对外部用户进行认证、使用加密文件系统EFS（Encrypting File

System）保护本地数据以、使用Internet协议安全IPSec（Internet Protocol security）来保证通过公有网络的通信的安全性，以及基于Windows 2000的安全应用开发的可扩展性等等。

1 活动目录技术

活动目录服务在Windows 2000信息安全和网络安全中具有重要作用，它是关于用户、硬件、应用和网络数据的存储中心，也存储用户的认证信息，以及用户使用某一资源的授权信息等。活动目录与Windows

2000的其他安全服务紧密集成，如Kerberos认证协议、公钥基础设施PKI、加密文件系统EFS、安全设置管理器和组策略等。　

同Windows NT中的平面文件（flat-file）目录不同，Windows 2000活动目录采用了代表商业企业组织结构的分层目录结构来存储信息，这样可以简化管理，具有良好的可伸缩性。为了创建这种分层结构，同Windows采用文件和文件夹来组织本地资源的方法类似，活动目录使用域（domains）、组织单元OUs（Organizational Units）和对象来管理和使用网络资源。

一个域是网络对象，包括组织单元、用户账号、组和计算机等的集合，它们共享一个公共目录数据库，并组成活动目录中逻辑结构的核心单元。每个域中可能包含多个组织单元和用户（对象），这样更符合公司或企业的组织模式。

大的企业或组织可能包含多个域，这种情况下的域分层就称为域树（Domain Tree）。创建的第一个域为根（root）域，也称为父域，在其下面创建的域为子（child）域。为了支持更大的组织结构，多个域树连接起来可以组成森林（forest），在这种情况下，需要使用多个域控制器，活动目录就可以定时在多个域控制器之间复制信息，从而保持目录数据库信息的同步。

在域中，一个组织单元OU是把对象组织成逻辑管理组的容器，其中包括一个或多个对象，如用户账号、组、计算机、打印机、应用、文件共享或其他OU等。