1、技术规范:
Active Directory 中的安全主体具有称为 SID 历史记录(SID History)的属性,域管理员可以向其中添加用户旧的安全标识符(Security Identifier,SID)。这在 Active Directory 迁移期间很有用,因为管理员不需要修改大量资源的访问控制列表(Access Control List,ACL),并且用户可以使用他们的旧 SID 来访问资源。但是,在某些情况下,攻击者或恶意管理员可能会破坏受信任域中的域控制器,从而使用 SID 历史记录属性(sIDHistory)将 SID 与新用户帐户相关联,从而授予自己未经授权的权限。为帮助防止此类攻击,Windows Server 2003 自动对由 Windows Server 2003 域控制器创建的所有外部信任启用 SID 筛选器隔离(SID Filter Quarantining)。使用运行带有 SP3 或更早版本的 Windows 2000 Server 的域控制器创建的外部信任必须手动配置以启用 SID 筛选器隔离。
不能关闭 Windows Server 2003 中为新创建的外部信任启用 SID 筛选器隔离的默认行为。默认情况下,从运行 Windows 2000 Server SP3 或更早版本的域控制器创建的外部信任不会强制 SID 筛选器隔离。
可以使用 SID 筛选器隔离从特定域中筛选出存储在 SID 历史记录中的迁移 SID。例如,如果存在外部信任关系,即一个域 Contoso(运行 Windows 2000 Server 域控制器)信任另一个域 Cpandl(也运行 Windows 2000