如何验证两个域信任关系 win2008

如何验证两个域信任关系 win2008

微软系统中任何关于如何限制或控制管理员权限的讨论通常都会得到这样的结果：你怎样才能不把管理权限送给那些你不信任的人?这有一定道理，但是在没有证据表明管理员做错了事情的情况下，如何才能正确判断一个管理员是否值得信任呢?再者，你如何证明你的判断呢?你不能剥夺一个域管理员太多权限，尤其是在每个域都要管理的多网域环境下，所以说有时候限制管理员的权利和授权活动这项工作很难实现。辅助人员和供给人员通常也需要具有管理权利，而且有时政治需求还会需要更多的管理人员。所以，真正的问题是，你如何去审计一个管理员?虽然答案是只要启用审计就行了，但是只是简单地启用审计功能并不能解决所有的问题。举例来说，我最近与许多管理员一起进行了一项大型的活动目录部署活动。他们有一个应用程序，使用特定的用户对象属性提供对该应用程序的连接。站在安全相关立场，他们发现管理员可以禁用审计功能，修改一些关键的属性，并且可以对该应用程序做坏事。然后该管理员可以重新启用审计功能而不会被觉察---甚至WindowsServer2008R2的属性审计功能也是如此。启用审计功能的时候，系统可以记录足够的事件，从中可以看出谁改变了对象，以及谁改变了属性。但是由于审计功能被禁用，所有这方面的证据都消失了。

如以上回答内容为低俗、色情、不良、暴力、侵权、涉及违法等信息，可以点下面链接进行举报！

点此我要举报以上问答信息！