活动目录系列之七:信任(上)

在一个森林环境中,大家想没想过一个问题,一个域用户不管来自于哪个域,它都可以做两件事:一是可以不用输密码就可访问森林内任意域的计算机上的共享资源(当然最终能不能访问,要看权限的设置,但至少可以直接打开其计算机)。二是可以在任意的计算机上登录到自己的域。为什么会这样呢?这其实就是"信任关系"所最终决定的。
    那么到底什么是信任呢?信任有哪些好处?
    我们可以这样来理解:我信任你,那意味着什么呢?其1我的物品(软件资源)你可以随便用,其2我的车(硬件资源)你随便开。而反之,我能用你的物品吗?不能,因为我信任你,但你并不信任我,所以我们所说的信任是有方向的。回到我们的森林环境中,如下图所示:
    A域信任B域,A域就叫作"信任域",B域就叫作"被信任域",这个方向就相当于从A作一条向B的箭头。那么可以实现什么呢?trust
   1.被信任域帐号(B域用户)可以具有访问信任域(A域)中资源的能力。
   2.被信任域(B域用户)中的用户可以在信任域(A域)中的计算机上登录到被信任域。
(一)信任方向:有单向和双向两种
a. 单向分为内传和外传两种
   i.内传指指定域信任本地域:在上图中如果在B域上实现,就得做单向内传(中箭了~~)
   ii.外传指本地域信任指定域:在上图中如果在A域上实现,就得做单向外传(箭头朝外)
b. 双向:指两个域相互信任,就像两个好朋友。
(二)2003信任的种类:
父子信任:可传递、双向。自动建立,不可删除。
树根信任:可传递、双向。自动建立,不可删除。
快捷信任:可传递,单向或双向
林信任:可传递,单向或双向
外部信任:不可传递,单向或双向(一般在2003域和NT4域之间或两个林的任两个域之间)
领域信任:不可或可传递,单向或双向(一般在windows域或Kerberos V5系统如Unix之间)
(三)查看信任关系:
打开DC上的domain.msc(AD域和信任关系),在相应的域上右击--属性,在信任里就能看到具体的该域信任的域以及被信任的域是什么。图示就免了吧~~
(四)林中的默认信任关系种类及特点
父子信任:在同一个域树中父域和子域之间
树根信任:在同一个林中的两个域树之间
特点:
a.默认建立,不可删除,可传递。
b.自动建立
林中的域之间的信任关系是在创建子域或者域树时自动创建的
c.传递信任
林中的域的信任关系是可传递的
如域A直接信任域B,域B直接信任域C,则域A信任域C
d.双向信任
在两个域之间有两个方向上的两条信任路径
例如,域A信任域B,域B信任域A
(五)林间的信任关系:
林之间的信任分为外部信任和林信任
外部信任是指在不同林的域之间创建的不可传递的信任
林信任是Windows 2003林根域之间建立的信任
为任一林内的各个域之间提供一种单向或双向的可传递信任关系
(六)林信任的应用场合:
如果两个森林要实现信任的话,只是依靠外部信任则需要在多个域之间创建,如果在两个林根之间创建林信任就OK了,非常适合于两个企业合并。
(七)林信任的特点及创建注意事项:
a. 要在两个林上分别作DNS转发。
b. 林功能级别为Windows Server 2003才能创建
c. 只有在林根域之间才能创建
d. 在建立林信任的两个林中的每个域之间的信任关系是可传递的
e. 信任方向有单向和双向两种

好了,先写这些吧,下篇我分给大家讲解如何在森林之间实现林信任,而其它信任关系实现类似。

本文出自 "千山岛主之微软技术空间站" 博客,请务必保留此出处http://jary3000.blog.51cto.com/610705/122188

 
 

评论