一组关于域信任、防火墙及组策略的FAQ
一、建立信任关系并解决相关问题
1) 问:如何从一个 Windows 域建立对另一个域的信任关系?
答:Windows 域中的所有域会自动建立相互信任。要信任一个森林之外的域,请打开“AD 域和信任关系”,然后右键单击您所在的域并选择“属性”。您将可以看到现有信任关系的列表。要建立与其它域的信任关系:
1. 单击“新建”。
2. 输入其它域的名称。
3. 选择信任关系的类型。
4. 输入信任关系口令。
在另一个域中执行上述相同操作,从而建立双方的信任关系。详细信息,请参考如何创建 Windows 2000 域和 Windows NT 4.0 域之间的信任关系 (Q306733) 和如何在 Windows 2000 中建立与基于 Windows NT 的域的信任关系 (Q308195)(位于产品支持服务站点的 Microsoft 知识库中)。
2)问:信任关系似乎不能正常工作。我该如何解决这个问题?
答:使用 Nltest.exe 或域和信任关系的用户界面来验证该信任关系并进行重新设置。请参阅如何使用 NLTEST 强制开通新的安全通道 (Q156684)。
3) 问:我有两个森林,并且在其中的域之间建立了多个信任关系。我是否能建立这两个森林之间的信任关系?
答:不能。这在 Windows 2000 中是不可能实现的。
4) 问:我曾经被迫在基于 Windows 2000 的服务器上执行了全新安装。我使用了相同的用户名称,但现在我不断收到“Error #5513”错误消息,它说在重新配置域时丢失了SID。该消息要求我“重新建立信任关系”。我不知道该如何使用 Active Directory 来完成这个操作。请为我提供一些帮助。
答:您可以使用 Netdom 删除旧的外部信任关系,然后建立新的信任关系。有关如何使用 Netdom 来执行该操作的信息,请参阅 Mirosoft 产品支持服务站点中的教学:使用 Netdom.exe 重新设置 Windows 2000 域控制器的机器帐户密码 (Q260575)。
二、防火墙
1) 问:如何才能让信任关系、文件共享、FRS 以及其它 Windows 服务穿越防火墙进行工作?
答:大多数 Windows 服务都使用动态的远程过程调用 (RPC) 端口。这意味着在服务启动时会为它随机指定端口。您可以按照 Q154596 中的说明限制 RPC 端口的范围,或者可以使用 IPSec 让流量穿过您的防火墙。某些服务(比如 Active Directory 复制)允许您通过注册表键控制它们可以运行在哪个端口上。更多信息请参阅使用 IPSec 锁定服务器和 Windows XP 产品文档。
2) 问:如何越过防火墙加入一台计算机?
答:通常,您需要打开的端口包括:DNS(53)、Netlogon 动态 RPC 端口、SMB(445)、Kerberos(88)、LDAP(389) 以及 NTP(123)。由于 netlogon 端口是动态的,因此最好的方法是使用 IPSec 或其它隧道协议让流量穿过防火墙。另外,您还可以按照 Q154596 中的说明来限制端口的范围。更多信息请参阅如何让 IPSec 流量穿越防火墙 (Q233256)。
三、组策略
1) 问:本地安全策略、域控制器安全策略以及域安全策略之间有哪些不同?
答:本地安全策略仅对本地计算机起作用。域控制器安全策略仅影响相关域中的域控制器。而域安全策略会影响相关域中的所有计算机。域控制器安全策略设置优先于域安全策略。
2) 问:能否使用组策略控制用户可以运行的程序?怎样实现?
答:可以。为此请使用用户配置管理模板系统仅运行指定的 Windows应用程序 ”进行设置。
3) 问:能否使用组策略控制哪些用户可以在一组机器上设置注册表项?怎样实现?
答:可以。请使用计算机配置Windows设置安全设置注册表。
4) 问:我试图将安全模板应用到工作组中的 Windows 2000 Professional PC。但当我试图通过“安全配置和分析”管理单元(以及 secedit)应用该模板时,没有应用任何密码策略。这是为什么?我该怎么办?
答:在使用“安全配置和分析”管理单元进行分析后,未被应用的设置可能提供这样的消息: “该设置仅对数据库有效。它不更改计算机设置。”
然而,也有一种不用逐个更改每个策略即可将这些设置应用到本地安全策略的方法。
首先,请使用上述管理单元配置计算机。然后即可通过右键菜单设置这些项目。由于问题中的计算机是工作组(而不是域)的成员,因此不会有更高级别的组策略对象 (GPO) 覆盖这些设置。要特别注意的是,由于这些模板可能进行多种更改,因此如果在应用了一个模板后发生了兼容性问题,你可能需要大量的时间来查找引起这些问题的设置。“本地安全设置”管理单元允许您按照需要进行更改。请注意,由“本地安全设置”管理单元更改的大多数设置都会立即在设备上反映出来。但在“本地策略安全选项”下的项目存在一些例外,它们可能要求您重新启动计算机后才能生效。
5) 问:如何对域中所有机器上的 Administrator 组的成员身份进行控制?
答:您可以在组策略中设置这种限制性的组功能,从而控制 Local Administrators 组的成员身份。 但请注意,这会将成员身份完全更改为您所指定的条件——也就是说,无法仅将用户添加到该组中。