WEB开发网
开发学院操作系统windows 2008 活动目录系列之七:信任(上) 阅读

活动目录系列之七:信任(上)

 2009-01-06 12:59:49 来源:WEB开发网   
核心提示:在一个森林环境中,大家想没想过一个问题,活动目录系列之七:信任(上),一个域用户不管来自于哪个域,它都可以做两件事:一是可以不用输密码就可访问森林内任意域的计算机上的共享资源(当然最终能不能访问,下篇我分给大家讲解如何在森林之间实现林信任,而其它信任关系实现类似,要看权限的设置,但至少可以直接打开其计算机)

在一个森林环境中,大家想没想过一个问题,一个域用户不管来自于哪个域,它都可以做两件事:一是可以不用输密码就可访问森林内任意域的计算机上的共享资源(当然最终能不能访问,要看权限的设置,但至少可以直接打开其计算机)。二是可以在任意的计算机上登录到自己的域。为什么会这样呢?这其实就是“信任关系”所最终决定的。

那么到底什么是信任呢?信任有哪些好处?

我们可以这样来理解:我信任你,那意味着什么呢?其1我的物品(软件资源)你可以随便用,其2我的车(硬件资源)你随便开。而反之,我能用你的物品吗?不能,因为我信任你,但你并不信任我,所以我们所说的信任是有方向的。回到我们的森林环境中,如下图所示:

A域信任B域,A域就叫作“信任域”,B域就叫作“被信任域”,这个方向就相当于从A作一条向B的箭头。那么可以实现什么呢?

活动目录系列之七:信任(上)

1.被信任域帐号(B域用户)可以具有访问信任域(A域)中资源的能力。

2.被信任域(B域用户)中的用户可以在信任域(A域)中的计算机上登录到被信任域。

(一)信任方向:有单向和双向两种

a. 单向分为内传和外传两种

i.内传指指定域信任本地域:在上图中如果在B域上实现,就得做单向内传(中箭了~~)

ii.外传指本地域信任指定域:在上图中如果在A域上实现,就得做单向外传(箭头朝外)

b. 双向:指两个域相互信任,就像两个好朋友。

(二)2003信任的种类:

父子信任:可传递、双向。自动建立,不可删除。

树根信任:可传递、双向。自动建立,不可删除。

快捷信任:可传递,单向或双向

林信任:可传递,单向或双向

外部信任:不可传递,单向或双向(一般在2003域和NT4域之间或两个林的任两个域之间)

领域信任:不可或可传递,单向或双向(一般在windows域或Kerberos V5系统如Unix之间)

(三)查看信任关系:

打开DC上的domain.msc(AD域和信任关系),在相应的域上右击--属性,在信任里就能看到具体的该域信任的域以及被信任的域是什么。图示就免了吧~~

(四)林中的默认信任关系种类及特点

父子信任:在同一个域树中父域和子域之间

树根信任:在同一个林中的两个域树之间

特点:

a.默认建立,不可删除,可传递。

b.自动建立

林中的域之间的信任关系是在创建子域或者域树时自动创建的

c.传递信任

林中的域的信任关系是可传递的

如域A直接信任域B,域B直接信任域C,则域A信任域C

d.双向信任

在两个域之间有两个方向上的两条信任路径

例如,域A信任域B,域B信任域A

(五)林间的信任关系:

林之间的信任分为外部信任和林信任

外部信任是指在不同林的域之间创建的不可传递的信任

林信任是Windows 2003林根域之间建立的信任

为任一林内的各个域之间提供一种单向或双向的可传递信任关系

(六)林信任的应用场合:

如果两个森林要实现信任的话,只是依靠外部信任则需要在多个域之间创建,如果在两个林根之间创建林信任就OK了,非常适合于两个企业合并。

(七)林信任的特点及创建注意事项:

a. 要在两个林上分别作DNS转发。

b. 林功能级别为Windows Server 2003才能创建

c. 只有在林根域之间才能创建

d. 在建立林信任的两个林中的每个域之间的信任关系是可传递的

e. 信任方向有单向和双向两种

好了,先写这些吧,下篇我分给大家讲解如何在森林之间实现林信任,而其它信任关系实现类似。

本文出自 “千山岛主之微软技术空间站” 博客,请务必保留此出处http://jary3000.blog.51cto.com/610705/122188

Tags:活动 目录 系列

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接