Мы часто задаем этот вопрос: что же в действительности является границей для системы безопасности в деру Windows Service T2003 — домен или лес? Отвечая коротко, можно сказать, что даже если домен И является первичной административной границей, он не создает сплошную границу защиты, как это было в системах Windows NT. И тому есть несколько причин.

  Одна из причин — существование универсальных групп, которые могут получить привилегии в любом домене леса, поскольку транзитивные двусторонние доверительные отношения устанавливаются автоматически между всеми доменами леса. Например, члены групп Enterprise Admins и Schema Admins по умолчанию получают доступ к некоторым элементам порожденных лесов (child forest). Чтобы члены вышеупомянутых групп не могли выполнять операции внутри данного домена, эти разрешения необходимо удалять вручную. Также необходимо обратить внимание на группы Domain Admins всех остальных доменов леса. У лесов службы Active Directory сеть одно малоизвестное свойство. Вот как говорится о нем в руководстве Windows 2000 Server Resource Kit Deployment Planning Guide: "Администраторы любого из доменов леса имеют потенциальную возможность стать владельцами и изменить информацию из контейнера конфигурации (Configuration container) службы Active Directory. Эти изменения можно продублировать на всех доменных контроллерах леса. Таким образом, можно считать, что администратор любого присоединившегося к лесу домена имеет доверительные отношения, приравнивающие его по возможностям к любому другому администратору домена (из группы Domain Admins).