使用Win 2003轻松建立森林间信任
2006-03-29 11:59:39 来源:WEB开发网资源分离是另一个建立分离森林的重要原因。例如,法律代理部门的信息需要分离,受保护的合同也需要分离。一些像银行这样的产业,如果将客户信息共享会受到处罚。
Windows 2000的森林内信任
在Windows 2000的一个森林内,Kerberos安全协议自动建立域间信任关系。Kerberos的一个重要功能是支持信任传递。如果A域信任B域,B域信任C域,则A域自动信任C域。记忆信任传递的简单办法就是记住“你的朋友就是我的朋友”。这个功能使域树的概念成为可能,Kerberos票据自动传递使森林中的一个域可以自动信任其他域。Kerberos在森林中的双向信任也叫“内部信任”。若要更多了解Windows 2000的Kerberos技术,参见微软白皮书“Windows 2000 Kerberos Authentication”(http://www.microsoft.com/windows2000/techinfo/howitworks/security/kerberos.asp)。
Windows 2000的森林间信任
森林之外的信任关系更原始一些。在Windows 2000中,Kerberos无法建立跨森林的信任。NT LAN Manager(NTLM)将建立与其他森林的NT 4.0域和Windows 2000域之间的信任关系。这些信任称为“外部信任”(第三种信任,即“快捷信任”,使用Kerberos直接连接两个域树的子域,以提高性能)。
外部信任与NT 4.0信任有相同的限制:外部信任不如Kerberos信任安全,并且不能传递。因此,你很快会陷入和NT 4.0一样的境地,你必须在每个森林的每个域维护信任。
Windows 2003的森林信任
森林信任是连接两个森林根域的一种信任。森林信任使您可以用简单轻松的方式将友好森林绑到一起,比NTLM信任更快、更灵活。由于森林信任用Kerberos替代了NTLM,两个森林之间的信任是可传递的。例如,如果森林A信任森林B,则森林A中的所有域也信任森林B中的所有域。然而,这种信任不在森林间传递,如果森林A信任森林B,森林B信任森林C,森林A并不能自动信任森林C。这和NTLM信任的规则一样,但是它被放大到适合于域森林,和NTLM信任一样,你可以建立单向或双向信任。
更多精彩
赞助商链接