Дополнительные функции безопасности облегчают управление множеством лесов и междоменными доверительными отношениями. Межлесные доверительные отношения представляют собой новый тип доверительных отношений в Windows, обеспечивающий управление отношениями безопасности между двумя лесами. Они значительно упрощают администрирование безопасности и проверку подлинности между двумя лесами. Пользователям предоставляется безопасный доступ к ресурсам из других лесов без необходимости жертвовать единым входом и административными преимуществами, связанными с возможностью иметь всего одно имя пользователя и пароль в домашнем лесу пользователя. Тем самым обеспечивается гибкость, необходимая для того, чтобы некоторые подразделения или зоны могли иметь собственные леса, не теряя при этом доступа к преимуществам Active Directory. Кроме того, новый диспетчер учетных данных обеспечивает безопасное хранение учетных данных пользователя и сертификатов X.509.
Политики ограниченного использования программ позволяют администраторам запрещать установку нежелательных программ на компьютерах по всей сети.
Преимущества | Описание |
Межлесная проверка подлинности | Межлесная проверка подлинности обеспечивает безопасный доступ к ресурсам в ситуации, когда учетная запись пользователя принадлежит к одному лесу, а учетная запись компьютера — к другому. Эта функция предоставляет пользователям безопасный доступ к ресурсам из других лесов с использованием протокола Kerberos или NTLM, не вынуждая их жертвовать единым входом и административными преимуществами, связанными с возможностью иметь всего одно имя пользователя и пароль в домашнем лесу пользователя. |
Межлесная авторизация | Межлесная авторизация облегчает администраторам выбор пользователей и групп из доверенных лесов для включения в локальные группы или списки управления доступом. Данная функция сохраняет незыблемость границ леса, позволяя при этом устанавливать доверительные отношения между лесами. Она позволяет доверяющему лесу налагать ограничения на принимаемые идентификаторы безопасности при попытках доступа пользователей из доверенных лесов к защищенным ресурсам. |
Усовершенствования в перекрестной сертификации | Возможности перекрестной сертификации клиентских компьютеров Windows Server 2003 были расширены за счет введения перекрестной сертификации на уровне отдела и на глобальном уровне. Например, Win Logon теперь имеет возможность запрашивать перекрестные сертификаты и загружать их в "доверенное хранилище предприятия". По мере построения цепочки будут загружены все перекрестные сертификаты. |
IAS и межлесная проверка подлинности | Если леса Active Directory находятся в режиме межлесной проверки подлинности с двусторонними доверительными отношениями, данная функция позволяет службе IAS/RADIUS производить проверку подлинности учетной записи пользователя, находящегося в другом лесу. Это дает администраторам возможность легко интегрировать новые леса с уже существующими службами IAS/RADIUS в собственном лесу. |
Диспетчер учетных данных | Диспетчер учетных данных обеспечивает безопасное хранение учетных данных пользователей, включая пароли и сертификаты X.509. Таким образом, всем пользователям, включая перемещающихся, достаточно ввести пароль только один раз. Например, если пользователь пытается запустить специализированное приложение в сети предприятия, то при первой попытке обратиться к этому приложению выполняется проверка подлинности, и запрашиваются учетные данные пользователя. После ввода учетных данных пользователем они будут связаны с запросившим их приложением. В дальнейшем при доступе к этому приложению будут использованы сохраненные учетные данные; повторный запрос этих данных выполняться не будет. |
Политики ограниченного использования программ | Политики ограниченного использования программ служат для регулирования доступа к неизвестному или не имеющему доверия программному обеспечению. С помощью политик ограниченного использования программ можно защитить компьютерную среду от программ неизвестного происхождения, определив совокупность программ, разрешенных для запуска. Чтобы разрешить или не разрешить выполнение программы по умолчанию, можно определить для объекта групповой политики (GPO) уровень безопасности по умолчанию "Неограниченный" или "Не разрешено". Для уровня безопасности по умолчанию можно задавать исключения, создавая правила для конкретного программного обеспечения. |
Повышенная производительность и надежность
Windows Server 2003 обеспечивает более эффективное управление репликацией и синхронизацией данных Active Directory.
Администраторы теперь могут лучше контролировать типы сведений, которые реплицируются и синхронизируются между контроллерами домена, находящимися как внутри одного и того же домена, так и в разных доменах.
Кроме того, Active Directory обеспечивает более совершенную логику отбора информации для репликации: теперь можно реплицировать только ту информацию, которая изменилась, — целиком обновлять крупные фрагменты каталога больше не требуется.
Преимущества | Описание |
Упрощение процедуры входа для удаленных офисов | Филиалы с контроллерами доменов могут обеспечивать вход пользователей в систему с использованием сохраненных в кэше учетных данных, не обращаясь предварительно к глобальному каталогу, что повышает производительность и устойчивость системы при работе в ненадежных глобальных сетях (WAN). Потеря связи между филиалом и глобальным каталогом больше не препятствует входу в систему пользователей филиала. Тем самым обеспечивается более эффективная поддержка филиалов и сокращение трафика в глобальной сети. |
Усовершенствования в репликации членства в группах | Некоторые данные каталога не нужно делать доступными в глобальном масштабе. Данное средство предоставляет возможность размещения данных в Active Directory, не оказывая существенного влияния на производительность сети. Это достигается благодаря контролю над областью репликации и размещением реплик. |
Разделы каталога приложений | Некоторые данные каталога не нужно делать доступными в глобальном масштабе. Данное средство предоставляет возможность размещения данных в Active Directory, не оказывая существенного влияния на производительность сети. Это достигается благодаря контролю над областью репликации и размещением реплик. |
Репликация с временных носителей | Эта функция позволяет администратору выполнить — вместо репликации по сети полной копии базы данных Active Directory — первоначальную репликацию, используя файлы, созданные при резервном копировании имеющегося контроллера домена или сервера глобального каталога. |
Повышение надежности | В Active Directory появился ряд новых возможностей, повышающих надежность. К их числу, в частности, относятся функция контроля работоспособности, позволяющая администраторам проверять репликацию между контроллерами доменов, улучшенная репликация глобального каталога, а также обновленный генератор межузловой топологии (ISTG), который теперь имеет более высокую масштабируемость за счет поддержки лесов с большим количеством узлов, чем в Windows 2000. |
Новые возможности служб приложений
Фундаментальные достоинства семейства Windows Server 2003 те же, что и у всего семейства операционных систем Windows: безопасность, управляемость, надежность, доступность и масштабируемость. Новые возможности Windows Server 2003 обеспечивают многочисленные преимущества при разработке приложений, снижая совокупную стоимость владения (TCO) и повышая производительность. Рассмотрим преимущества, новые возможности и усовершенствования, отличающие службу приложений в Windows Server 2003.
Среда приложений в Windows Server 2003 обеспечивает следующие преимущества.
1. Упрощенная интеграция и взаимодействие
2. Повышение эффективности при разработке
Преимущества | Описание |
Упрощенная интеграция и взаимодействие | Возможность легко устанавливать связь с партнерами и заказчиками, защищать и расширять существующую инфраструктуру, а также создавать динамические приложения. |
Повышение эффективности при разработке | Ускоренный вывод продукции на рынок, строгое соблюдение сроков и бюджетных рамок при разработке приложений, более быстрый и простой цикл разработки. |