Применяемые в AD DS режимы аутентификации
В Windows NT 4.0 для аутентификации применялась подсистема под названием NTLM (NT LAN Manager — диспетчер локальной сети NT). Она предусматривала передачу зашифрованного пароля по сети в виде хеш-значения. Ее недостатком было то, что любой мог отслеживать в сети передаваемые хеш-значения, собирать их и затем расшифровывать с помощью сторонних средств, позволяющих эффективно расшифровывать пароли с использованием методов словаря и "грубой силы".
Во всех версиях сервера Windows после Windows 2000 Server стала применяться подсистема аутентификации под названием Kerberos, которая более подробно рассматривается позже в этой главе. В сущности, Kerberos не предусматривает передачу информации о паролях по сети и поэтому изначально гораздо безопаснее NTLM.
Леса в AD DS
Лесами (forest) в AD DS называются группы связанных между собой деревьев доменов. Неявные отношения доверия объединяют корни всех деревьев в один общий лес.
Характеристиками, на основании которых все домены и деревья доменов объединяются в общий лес, служит наличие общей схемы и общего глобального каталога. Использовать общее пространство имен, однако, доменам и деревья доменов в этом лесу вовсе не обязательно.