步骤5. 做最坏打算

　　也许安全规划最重要的方面就是建立一个如何应对成功攻击的预案。实施上述最佳做法并不能绝对确保安全。您也许已经建立起一个非常安全的AD基础设施，但是如果攻击者进行一次从未见过的AD攻击，您也许就会束手无策，因为您对它还不了解。这就是为什么做最坏打算显得如此重要的原因。如果您发现正处在这种情形下，您已经知道该如何应对了。如果您发现整个森林均受到威胁并且需要进行一次彻底的恢复，您将会因为事先考虑过这个过程而节省下宝贵的时间。

　　执行最佳做法

　　在本文中我们讨论了提高AD安全性的一些基本步骤，而且实施这些步骤的代价也很低。虽然讨论的内容仅仅涉及一些皮毛，但是如果您遵循上述步骤，您的AD将会变得更加安全。

　　设计决定安全

　　病毒、蠕虫、垃圾邮件以及拒绝服务攻击是互联网用户每天都需要面对的安全威胁。互联网之所以很容易受到攻击，是因为当初设计它的时候并没有考虑到安全性。它被设计成了一个开放的系统，并鼓励用户自由地交流和交换思想。互联网的建立者从未想到某一天它会取得商业上的巨大成功。从此互联网社群一直在设法增强一个不安全设计的安全性。

　　上述例子说明了某项技术的实现将最终决定如何来增强它的安全性，AD也不例外。如果您设计了一个开放的委派模型并将用户不需要的访问权限也分配给他们，或者您将域控制器部署到不安全的位置，那么您将需要花费很多时间用来增强整个实现的安全性。

　　我喜欢应用简洁的设计哲学。AD设计得越简单，您的麻烦就会越少，在安全性方面尤为如此。复杂的设计往往导致更多需要管理的内容，接下来就是对更多的内容进行安全方面的增强。我喜欢应用的一个基本原则就是“越少越好”。域越少，域控制器就越少。域控制器越少，管理员就越少。组织单元越少，需要委派的对象就越少。