武汉电脑网 >> 系统应用 >> 服务器 >> 活动目录 >> 正文 > 活动目录系列之七:信任(上)

活动目录系列之七:信任(上)


作者:like    文章来源:武汉电脑网收集    点击数:    更新时间:2009-9-25          ★★★

在一个森林环境中,大家想没想过一个问题,一个域用户不管来自于哪个域,它都可以做两件事:一是可以不用输密码就可访问森林内任意域的计算机上的共享资源(当然最终能不能访问,要看权限的设置,但至少可以直接打开其计算机)。二是可以在任意的计算机上登录到自己的域。为什么会这样呢?这其实就是“信任关系”所最终决定的。

  那么到底什么是信任呢?信任有哪些好处?

  我们可以这样来理解:我信任你,那意味着什么呢?其1我的物品(软件资源)你可以随便用,其2我的车(硬件资源)你随便开。而反之,我能用你的物品吗?不能,因为我信任你,但你并不信任我,所以我们所说的信任是有方向的。回到我们的森林环境中,如下图所示:

  A域信任B域,A域就叫作“信任域”,B域就叫作“被信任域”,这个方向就相当于从A作一条向B的箭头。那么可以实现什么呢?

活动目录系列之七:信任(上)

  1.被信任域帐号(B域用户)可以具有访问信任域(A域)中资源的能力。

  2.被信任域(B域用户)中的用户可以在信任域(A域)中的计算机上登录到被信任域。

  (一)信任方向:有单向和双向两种

  a. 单向分为内传和外传两种

  i.内传指指定域信任本地域:在上图中如果在B域上实现,就得做单向内传(中箭了~~)

  ii.外传指本地域信任指定域:在上图中如果在A域上实现,就得做单向外传(箭头朝外)

  b. 双向:指两个域相互信任,就像两个好朋友。

  (二)2003信任的种类:

  父子信任:可传递、双向。自动建立,不可删除。

  树根信任:可传递、双向。自动建立,不可删除。

  快捷信任:可传递,单向或双向

  林信任:可传递,单向或双向

  外部信任:不可传递,单向或双向(一般在2003域和NT4域之间或两个林的任两个域之间)

  领域信任:不可或可传递,单向或双向(一般在windows域或Kerberos V5系统如Unix之间)

  (三)查看信任关系:

  打开DC上的domain.msc(AD域和信任关系),在相应的域上右击--属性,在信任里就能看到具体的该域信任的域以及被信任的域是什么。图示就免了吧~~

  (四)林中的默认信任关系种类及特点

  父子信任:在同一个域树中父域和子域之间

  树根信任:在同一个林中的两个域树之间

  特点:

  a.默认建立,不可删除,可传递。

  b.自动建立

  林中的域之间的信任关系是在创建子域或者域树时自动创建的

  c.传递信任

  林中的域的信任关系是可传递的

  如域A直接信任域B,域B直接信任域C,则域A信任域C

  d.双向信任

  在两个域之间有两个方向上的两条信任路径

  例如,域A信任域B,域B信任域A

  (五)林间的信任关系:

  林之间的信任分为外部信任和林信任

  外部信任是指在不同林的域之间创建的不可传递的信任

  林信任是Windows 2003林根域之间建立的信任

  为任一林内的各个域之间提供一种单向或双向的可传递信任关系

  (六)林信任的应用场合:

  如果两个森林要实现信任的话,只是依靠外部信任则需要在多个域之间创建,如果在两个林根之间创建林信任就OK了,非常适合于两个企业合并。

  (七)林信任的特点及创建注意事项:

  a. 要在两个林上分别作DNS转发。

  b. 林功能级别为Windows Server 2003才能创建

  c. 只有在林根域之间才能创建

  d. 在建立林信任的两个林中的每个域之间的信任关系是可传递的

  e. 信任方向有单向和双向两种

  好了,先写这些吧,下篇我分给大家讲解如何在森林之间实现林信任,而其它信任关系实现类似。


PCSOTO首页 | 广告服务 | 人员招聘( 月) | 站点地图 | 联系方式 | RSS订阅 | 友情链接 | 技术论坛 | 网址 | PCSOTO技术QQ群:61805201
本站所有资源均来自网络,版权归原作者所有!如有侵犯作者版权,请及时通知本站刊正。欢迎您的任何建议、意见、批评和鼓励!
Copyright © 2008 - PCSOTO.COM. All rights reserved. 武汉电脑网 版权所有.