使用Win 2003轻松建立森林间信任
2006-03-29 11:59:39 来源:WEB开发网森林信任的优点
森林信任的两个优点是跨森林认证和授权。跨森林认证使被信任森林中的用户可以登录到信任森林的机器上,而不用重复创建账号。跨森林授权同样使你可以对被信任森林的用户分配权限,以便他们访问信任森林的资源,同样无需重复账号。这个行为不会危害森林安全边界。
尽管你可以在森林间建立外部信任,但使用基于Kerberos的森林信任极大地减少了森林间所需信任的数量。如果在两个森林的所有域之间建立信任关系,你可以用下面的公式计算所需外部信任的数量。外部信任总数=(1单向信任或2双向信任)×(森林A中的域数)×(森林B中的域数)。
例如,假设你有一个包含三个域的开发森林(DEV)和一个包含四个域的生产森林(PROD),你希望跨森林建立所有域之间的双向信任关系。则你需要建立24个信任,既2×3×4。这个数量虽然不便却还可以忍受,但是如果你决定加入一个包含四个域的集成森林(INT),信任拓扑将更为复杂。你现在有三组信任关系:DEV到PROD,DEV到INT,PROD到INT。这样需维护的信任总数将达到80。
森林信任让你可以实现的一个重要策略就是账号森林配置。一个账号森林本质上是NT 4.0中账号域或资源域配置的放大。要建立账号森林,首先要确保所有账号在主要森林中,然后建立从其他资源森林到主要森林的单向信任(关于建立单向信任的信息,参见附文“轻松创建单向信任”)。用户可以使用主要森林的账号登录到任何联盟森林中。你甚至可以将建立信任的管理权委派给不属于企业管理组的用户。
你也许奇怪,为何Windows 2003的森林信任可以包含其他森林,而Windows 2000的外部信任却不能。在Windows 2003中,信任域对象(TDO)描述了外部信任和森林信任的基本信息。在森林信任中,TDO包含一个称为“森林信任信息”的附加属性。这个属性包含远程森林内所有域的信息,树名称以及可选名称后缀。这个信息对于路由认证和查询远程森林是必要的。全局目录(GC)存储这些信息,因此所有域控制器(DC)都可以查询这些信息。
更多精彩
赞助商链接