活动目录系列之七：信任（上）

核心提示：在一个森林环境中，大家想没想过一个问题，活动目录系列之七：信任（上），一个域用户不管来自于哪个域，它都可以做两件事：一是可以不用输密码就可访问森林内任意域的计算机上的共享资源（当然最终能不能访问，下篇我分给大家讲解如何在森林之间实现林信任，而其它信任关系实现类似，要看权限的设置，但至少可以直接打开其计算机）

在一个森林环境中，大家想没想过一个问题，一个域用户不管来自于哪个域，它都可以做两件事：一是可以不用输密码就可访问森林内任意域的计算机上的共享资源（当然最终能不能访问，要看权限的设置，但至少可以直接打开其计算机）。二是可以在任意的计算机上登录到自己的域。为什么会这样呢？这其实就是“信任关系”所最终决定的。

那么到底什么是信任呢？信任有哪些好处？

我们可以这样来理解：我信任你，那意味着什么呢？其1我的物品（软件资源）你可以随便用，其2我的车（硬件资源）你随便开。而反之，我能用你的物品吗？不能，因为我信任你，但你并不信任我，所以我们所说的信任是有方向的。回到我们的森林环境中，如下图所示：

A域信任B域，A域就叫作“信任域”，B域就叫作“被信任域”，这个方向就相当于从A作一条向B的箭头。那么可以实现什么呢？

1.被信任域帐号(B域用户）可以具有访问信任域（A域）中资源的能力。

2.被信任域(B域用户）中的用户可以在信任域（A域）中的计算机上登录到被信任域。

（一）信任方向：有单向和双向两种

a. 单向分为内传和外传两种

i.内传指指定域信任本地域:在上图中如果在B域上实现，就得做单向内传（中箭了~~）

ii.外传指本地域信任指定域:在上图中如果在A域上实现，就得做单向外传（箭头朝外）

b. 双向：指两个域相互信任，就像两个好朋友。

（二）2003信任的种类：

父子信任：可传递、双向。自动建立，不可删除。

树根信任：可传递、双向。自动建立，不可删除。

快捷信任：可传递，单向或双向

林信任：可传递，单向或双向

外部信任：不可传递，单向或双向（一般在2003域和NT4域之间或两个林的任两个域之间）

领域信任：不可或可传递，单向或双向（一般在windows域或Kerberos V5系统如Unix之间）

（三）查看信任关系：

打开DC上的domain.msc（AD域和信任关系），在相应的域上右击--属性，在信任里就能看到具体的该域信任的域以及被信任的域是什么。图示就免了吧~~

（四）林中的默认信任关系种类及特点

父子信任：在同一个域树中父域和子域之间

树根信任：在同一个林中的两个域树之间

特点：

a.默认建立，不可删除，可传递。

b.自动建立

林中的域之间的信任关系是在创建子域或者域树时自动创建的

c.传递信任

林中的域的信任关系是可传递的

如域A直接信任域B，域B直接信任域C，则域A信任域C

d.双向信任

在两个域之间有两个方向上的两条信任路径

例如，域A信任域B，域B信任域A

（五）林间的信任关系：

林之间的信任分为外部信任和林信任

外部信任是指在不同林的域之间创建的不可传递的信任

林信任是Windows 2003林根域之间建立的信任

为任一林内的各个域之间提供一种单向或双向的可传递信任关系

（六）林信任的应用场合：

如果两个森林要实现信任的话，只是依靠外部信任则需要在多个域之间创建，如果在两个林根之间创建林信任就OK了，非常适合于两个企业合并。

（七）林信任的特点及创建注意事项：

a. 要在两个林上分别作DNS转发。

b. 林功能级别为Windows Server 2003才能创建

c. 只有在林根域之间才能创建

d. 在建立林信任的两个林中的每个域之间的信任关系是可传递的

e. 信任方向有单向和双向两种

好了，先写这些吧，下篇我分给大家讲解如何在森林之间实现林信任，而其它信任关系实现类似。

本文出自 “千山岛主之微软技术空间站” 博客，请务必保留此出处http://jary3000.blog.51cto.com/610705/122188