在一個森林環境中,大家想沒想過一個問題,一個域使用者不管來自于哪個域,它都可以做兩件事:一是可以不用輸密碼就可通路森林内任意域的計算機上的共享資源(當然最終能不能通路,要看權限的設定,但至少可以直接打開其計算機)。二是可以在任意的計算機上登入到自己的域。為什麼會這樣呢?這其實就是“信任關系”所最終決定的。
那麼到底什麼是信任呢?信任有哪些好處?
我們可以這樣來了解:我信任你,那意味着什麼呢?其1我的物品(軟體資源)你可以随便用,其2我的車(硬體資源)你随便開。而反之,我能用你的物品嗎?不能,因為我信任你,但你并不信任我,是以我們所說的信任是有方向的。回到我們的森林環境中,如下圖所示:
A域信任B域,A域就叫作“信任域”,B域就叫作“被信任域”,這個方向就相當于從A作一條向B的箭頭。那麼可以實作什麼呢?
1.被信任域帳号(B域使用者)可以具有通路信任域(A域)中資源的能力。
2.被信任域(B域使用者)中的使用者可以在信任域(A域)中的計算機上登入到被信任域。
(一)信任方向:有單向和雙向兩種
a. 單向分為内傳和外傳兩種
i.内傳指指定域信任本地域:在上圖中如果在B域上實作,就得做單向内傳(中箭了~~)
ii.外傳指本地域信任指定域:在上圖中如果在A域上實作,就得做單向外傳(箭頭朝外)
b. 雙向:指兩個域互相信任,就像兩個好朋友。
(二)2003信任的種類:
父子信任:可傳遞、雙向。自動建立,不可删除。
樹根信任:可傳遞、雙向。自動建立,不可删除。
快捷信任:可傳遞,單向或雙向
林信任:可傳遞,單向或雙向
外部信任:不可傳遞,單向或雙向(一般在2003域和NT4域之間或兩個林的任兩個域之間)
領域信任:不可或可傳遞,單向或雙向(一般在windows域或Kerberos V5系統如Unix之間)
(三)檢視信任關系:
打開DC上的domain.msc(AD域和信任關系),在相應的域上右擊--屬性,在信任裡就能看到具體的該域信任的域以及被信任的域是什麼。圖示就免了吧~~
(四)林中的預設信任關系種類及特點
父子信任:在同一個域樹中父域和子域之間
樹根信任:在同一個林中的兩個域樹之間
特點:
a.預設建立,不可删除,可傳遞。
b.自動建立
林中的域之間的信任關系是在建立子域或者域樹時自動建立的
c.傳遞信任
林中的域的信任關系是可傳遞的
如域A直接信任域B,域B直接信任域C,則域A信任域C
d.雙向信任
在兩個域之間有兩個方向上的兩條信任路徑
例如,域A信任域B,域B信任域A
(五)林間的信任關系:
林之間的信任分為外部信任和林信任
外部信任是指在不同林的域之間建立的不可傳遞的信任
林信任是Windows 2003林根域之間建立的信任
為任一林内的各個域之間提供一種單向或雙向的可傳遞信任關系
(六)林信任的應用場合:
如果兩個森林要實作信任的話,隻是依靠外部信任則需要在多個域之間建立,如果在兩個林根之間建立林信任就OK了,非常适合于兩個企業合并。
(七)林信任的特點及建立注意事項:
a. 要在兩個林上分别作DNS轉發。
b. 林功能級别為Windows Server 2003才能建立
c. 隻有在林根域之間才能建立
d. 在建立林信任的兩個林中的每個域之間的信任關系是可傳遞的
e. 信任方向有單向和雙向兩種
好了,先寫這些吧,下篇我分給大家講解如何在森林之間實作林信任,而其它信任關系實作類似。
本文轉自 jary3000 51CTO部落格,原文連結:http://blog.51cto.com/jary3000/122188,如需轉載請自行聯系原作者
![Windows系統下通過CMD指令行或運作視窗打開常用附件和功能[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)