, da jeg var i hæren, for flere år siden, den nuværende server operativsystem var windows nt - 4,0.jeg kan huske trustrelationer er særligt vanskeligt at håndtere, fordi hver enhed havde deres egen windows nt - område med deres egne administrator.det så vanskeligt at håndtere, at hærens regler fastsat, at afdelingen for informationsformidling (kontoret), var nødt til at stole på i forhold til alle de andre områder, der eksisterede på det grundlag, at etablere dette tillidsfulde forhold, vi havde manuelt at fortælle vores område at etablere en tillid med fjernbetjeningen område.administratoren af fjerntliggende område, så havde manuelt at etablere en tillid mellem os.der var naturligvis kodeord, der skulle indføres, hver gang en trust blev oprettet, og at disse koder er blevet et stort politisk spørgsmål.,, at skabe tillid forhold på den måde, som jeg netop har beskrevet, blot betød, at alle områder på basen stolede på brugere fra mit kontor, og at mit kontor på brugere fra andre områder.disse tillidsforhold ikke skabe tillid mellem nogen af de fjerntliggende områder.hvis stoler på var nødvendige mellem fjerntliggende områder, administratorer af disse områder måtte forelægge passende papir arbejde at anvende, vi var nødt til at revidere de sikkerhedsmæssige følger af at skabe en sådan tillid og derefter manuelt skabe tillid.,, tillidsforhold, var en stor smerte for os.fordi der var så mange områder på basen, der var mange individuelle tillidsforhold, som vi er nødt til at opretholde.der er også mange situationer, hvor vi var nødt til at ødelægge og genskabe tillid, fordi de pludselig holder op med at arbejde, tilsyneladende uden grund.,, nu da jeg har fortalt dig, at en af mine historier fra min hær dage, lad os hurtigt frem.windows server - 2003 gør op med de problemer, som jeg har beskrevet ovenfor (som er windows 2000 server).i windows server - 2003, et område, ikke er en selvstændig enhed, som det var i windows nt - server.i stedet, et område, anses for at være et objekt i active directory.alle genstande i active directory (herunder områder) anses for at være en del af en skov.,, det interessante ved under områder findes som en del af en større struktur (forest) er, at skoven har kendskab til alle de områder, der falder ind under det.desuden, er der ingen, der kan skabe et nyt område, og det findes som en del af en eksisterende skov, medmindre de har en passende administrativ prøvelse.,, fordi skovene ved alle de områder inden for den, og for hvert område er blevet godkendt ved en skov niveau administrator (medlem af den virksomhed, admins gruppe) alle de områder, inden for en skov anses for at være pålidelige.derfor, vinduer, skaber en automatisk stoler på forholdet mellem alle områder i en skov og ethvert andet område i skoven.,, da hvert område automatisk stoler på alle andre områder, kan man gå ud fra, at der ikke er grund til, at nogen nogensinde kommer i en situation, som mit mareridt med hæren igen, så længe alle de områder er active directory baseret på.på en måde, det er sandt.hvis jeg arbejdede for hæren i dag, er det tænkeligt, at jeg kunne skabe en skov, der strækker sig over hele basen.hver enhed kunne bevare deres eget område, men det vil være en del af skoven og skov - trustrelationer ville automatisk blive skabt.det ved jeg, for mange store virksomheder, der har deres net konfigureret i præcis den måde.,, selv om skoven bred tillid i høj grad forenkler forvaltning. det er ikke altid relevant.for eksempel mener, min tidligere eksempel med hæren.en skov, der strækker sig over hele basen ikke ville være hensigtsmæssig i denne situation på grund af den kendsgerning, at mange af de enheder, behandle klassificerede oplysninger, bare for at gøre det helt klart, at jeg ønsker at påpege, at have et område på et andet område ikke automatisk give brugerne i stolede på område adgang til nogen af de ressourcer i de stoler på område.det er op til dette område er administrator, at udstede tilladelser.men en skov, der strækker sig over hele basen vil ikke være passende for den militære, fordi hæren ville ikke risikere, at en administrator give tilladelser til adgang til klassificerede materiale til nogen i et andet område, enten bevidst eller forsætligt.,, så hæren er meget kræsen regler og bureaukrati. hvad så med, at et selskab?- der er også situationer i erhvervslivet, hvor en virksomhed store skov er en dårlig idé.forestil dem et øjeblik, at du arbejder for et stort firma med hjemsted i mange byer.forestil dig, at virksomhedens netværk er struktureret således, at selskabet kun har en enkelt skov, og hvert enkelt kontor har sit eget område i skoven.først denne struktur ikke lyderså slemt.det kan måske forekomme logisk.husk, at gennemførligheden af en sådan konstruktion, alle kan koges ned til at stole på, f.eks. forestil dig, at du er netværket administrator i vores skuffeselskab er miami, florida.en dag får du et opkald fra hovedkvarter, og de vil have dig til at give adgang til en bestemt sag andel til markedsføring - gruppen i las vegas.husk, at las vegas afdeling består af en uafhængig domæne, som du har ingen kontrol.kunne du blindt adlyde hovedkvarter og tildele de nødvendige rettigheder, men husk, at du ikke har nogen kontrol med markedsføring af gruppens medlemmer.det bedste du kan gøre, er at håbe, at netværket administrator i las vegas, ville ikke være nogen, der ville skade deres ressourcer, medlem af marketing - gruppen.,, som du kan se, så alle kan koges ned til at stole på.spørgsmålet er, hvor meget tillid, har du i administratorerne for de andre områder?hvad hvis en af de andre administratorer er fokuseret på nettet dominans?normalt er et domæne niveau administrator har administrative tilladelser på deres eget område, men ikke i skoven.det betyder, at de har ingen kontrol over et af de andre områder.men alle en administrator, behov for at blive en skov niveau administrator, er at få deres konto tilføjes til den virksomhed, admins gruppe.der er mange forhøjelse af privilegium bedrifter, der kan anvendes til at tilføje en bruger, at virksomheden admins gruppe.eftersom den pågældende bruger allerede er et område administrator, så udnytter blevet meget lettere at trække ud.- det ville ikke tage en masse for et område til at markedsføre sig selv til niveau administrator en skov - administrator.når de gør det, de har fuld kontrol over alle områder i skoven, herunder dem, som du kan se, er der mange situationer, hvor fuld tillid er ikke ønskelig.hvis deres virksomhed har brug for lidt mere isoleret mellem områder af sikkerhedsmæssige grunde, overveje at gennemføre flere skove, snarere end at have en enkelt skov.,, hvad er det med at have flere skove, er at du kan skabe tillid i forholdet mellem skove, hvor det er nødvendigt.men når en trust oprettes mellem skove, de stoler på kun eksisterer mellem de områder, der udtrykkeligt er godkendt den tillid.f.eks. antage, at et område, der nu er en del af et tværgående skov.som en del af skoven, tillidsfulde forhold automatisk vil eksistere mellem posey område og alle andre områder i skoven.hvad nu hvis administratoren af posey område besluttet at oprette en ekstern tillid med en skov.administratoren ville ikke være i stand til at fortælle det til at stole på hele skoven, fordi eksterne tillid kan kun skabes på det område.derfor administratoren skal udtrykkeligt angive, hvilke områder inden for eksterne skov, som de gerne ville tro.,, jeg forestiller mig, at administratoren af posey område har skabt en masse eksterne stoler på, uden at hans firma er skov niveau administrator, er viden.det betyder ikke noget, fordi disse fonde kan ikke undergrave den skov er sikkerhed.bare fordi de vælger at stole på nogle områder nu område fra en ekstern skov, det betyder ikke, at andre områder i samme skov som posey område vil ære at stole på.faktisk, så vidt de øvrige områder angår, er den tillid, ikke eksisterer.de andre områder i skoven vil ære de eksterne fonde, administratorer af disse områder udtrykkeligt skal definere trustrelationer fra deres eget område til den ydre områder.,, konklusioner, som du kan se, er der tidspunkter, hvor under hver eneste af jeres selskab er områder har tillid til hinanden, er en væsentlig sikkerhedsrisiko.i disse situationer, kan du isolere områder eller grupper af områder ved at oprette særskilte skove.du kan skabe eksterne tillidsforhold, der gør det muligt for visse områder til at stole på andre eksterne områder uden frygt, at oprettelse af utilsigtet stoler på.