WEB开发网
开发学院操作系统windows 2008 使用Win 2003轻松建立森林间信任 阅读

使用Win 2003轻松建立森林间信任

 2006-03-29 11:59:39 来源:WEB开发网   
核心提示: 森林信任的优点 森林信任的两个优点是跨森林认证和授权,跨森林认证使被信任森林中的用户可以登录到信任森林的机器上,使用Win 2003轻松建立森林间信任(3),而不用重复创建账号,跨森林授权同样使你可以对被信任森林的用户分配权限,这个信息对于路由认证和查询远程森林是必要的,全局目录(GC)存

森林信任的优点

森林信任的两个优点是跨森林认证和授权。跨森林认证使被信任森林中的用户可以登录到信任森林的机器上,而不用重复创建账号。跨森林授权同样使你可以对被信任森林的用户分配权限,以便他们访问信任森林的资源,同样无需重复账号。这个行为不会危害森林安全边界。

尽管你可以在森林间建立外部信任,但使用基于Kerberos的森林信任极大地减少了森林间所需信任的数量。如果在两个森林的所有域之间建立信任关系,你可以用下面的公式计算所需外部信任的数量。外部信任总数=(1单向信任或2双向信任)×(森林A中的域数)×(森林B中的域数)。

例如,假设你有一个包含三个域的开发森林(DEV)和一个包含四个域的生产森林(PROD),你希望跨森林建立所有域之间的双向信任关系。则你需要建立24个信任,既2×3×4。这个数量虽然不便却还可以忍受,但是如果你决定加入一个包含四个域的集成森林(INT),信任拓扑将更为复杂。你现在有三组信任关系:DEV到PROD,DEV到INT,PROD到INT。这样需维护的信任总数将达到80。

森林信任让你可以实现的一个重要策略就是账号森林配置。一个账号森林本质上是NT 4.0中账号域或资源域配置的放大。要建立账号森林,首先要确保所有账号在主要森林中,然后建立从其他资源森林到主要森林的单向信任(关于建立单向信任的信息,参见附文“轻松创建单向信任”)。用户可以使用主要森林的账号登录到任何联盟森林中。你甚至可以将建立信任的管理权委派给不属于企业管理组的用户。

你也许奇怪,为何Windows 2003的森林信任可以包含其他森林,而Windows 2000的外部信任却不能。在Windows 2003中,信任域对象(TDO)描述了外部信任和森林信任的基本信息。在森林信任中,TDO包含一个称为“森林信任信息”的附加属性。这个属性包含远程森林内所有域的信息,树名称以及可选名称后缀。这个信息对于路由认证和查询远程森林是必要的。全局目录(GC)存储这些信息,因此所有域控制器(DC)都可以查询这些信息。

上一页  1 2 3 4 5 6  下一页

Tags:使用 Win 轻松

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接