WEB开发网
开发学院操作系统windows 2008 创建可传递的林信任,Active Directory系列之二十... 阅读

创建可传递的林信任,Active Directory系列之二十

 2009-10-12 00:00:00 来源:WEB开发网   
核心提示:在实战详解域信任关系中,我们介绍了如何创在两个域之间创建域信任关系,创建可传递的林信任,Active Directory系列之二十,实战的结果是我们在itet.com和homeway.com之间成功创建了信任关系,达到了预期目的,他们之间是域林间的关系,那我们为什么不能在这两个域之间创建可传递的林信任呢?回忆一下创建信

在实战详解域信任关系中,我们介绍了如何创在两个域之间创建域信任关系。实战的结果是我们在itet.com和homeway.com之间成功创建了信任关系,达到了预期目的。但我们打开域控制器上的Active Directory域和信任工具,可以从下图中发现,itet.com和homeway.com之间的信任关系是不可传递的!这个要引起我们的关注。

创建可传递的林信任,Active Directory系列之二十

如果域之间的信任关系是可以传递的,那我们就可以推论只要A信任B,B信任C,那么A必然信任C。但是域信任关系如果是不可传递的,那就会导致A和C之间没有任何信任关系,必须手工创建A和C之间的信任关系。显然,在多域的条件下,如果域的数量较多,信任关系的不可传递会给我们带来很多效率上的麻烦。例如我们可以计算一下,如果有20个域,每两个域之间都要创建双向信任关系,那我们就至少要创建20*19/2=190次信任关系,这显然也太啰嗦了!

微软对域信任关系的不可传递也给出了相应的解决方法,从Win2000开始,微软推出了域树和域林的概念。凡是在同一域树内的域,都会自动创建出双向可传递的信任关系。同一个域林内的域,也会自动创建双向可传递的信任关系。当微软发布Win2003时,微软又推出了林信任的概念,也就是说可以在两个林之间创建可传递的信任关系,把可传递的信任关系从一个林推广到了多个林。

我们看到这儿时,要回忆一下实战详解域信任关系这篇文章中的拓扑图。拓扑如下图所示,我们会忽然意识到itet.com和homeway.com就是分别在一个单独的域林内,他们之间是域林间的关系,那我们为什么不能在这两个域之间创建可传递的林信任呢?回忆一下创建信任关系的过程,没有发现可以创建可传递的林信任啊,为什么呢?

1 2 3 4  下一页

Tags:创建 传递 信任

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接