域信任

這兩天在講域信任關系的東西特意把域信任概念和相關實驗實驗寫出來和大家分享。在同一個域内，成員伺服器根據Active Directory中的使用者賬号，可以很容易地把資源配置設定給域内的使用者。但一個域的作用範圍畢竟有限，有些企業會用到多個域，那麼在多域環境下，我們該如何進行資源的跨域配置設定呢？也就是說，我們該如何把A域的資源配置設定給B域的使用者呢？一般來說，我們有兩種選擇，一種是使用鏡像賬戶。也就是說，我們可以在A域和B域内各自建立一個使用者名和密碼都完全相同的使用者賬戶，然後在B域把資源配置設定給這個賬戶後，A域内的鏡像賬戶就可以通路B域内的資源了。

         鏡像賬戶的方法顯然不是一個好的選擇，至少賬戶的重複建設就很讓管理者頭疼。資源跨域配置設定的主流方法還是建立域信任關系，在兩個域之間建立了信任關系後，資源的跨域配置設定就非常容易了。域信任關系是有方向性的，如果A域信任B域，那麼A域的資源可以配置設定給B域的使用者；但B域的資源并不能配置設定給A域的使用者，如果想達到這個目的，需要讓B域信任A域才可以。

         如果A域信任了B域，那麼A域的域控制器将把B域的使用者賬号複制到自己的Active Directory中，這樣A域内的資源就可以配置設定給B域的使用者了。從這個過程來看，A域信任B域首先需要征得B域的同意，因為A域信任B域需要先從B域索取資源。這點和我們習慣性的了解不同，信任關系的主動權掌握在被信任域手中而不是信任域。

         A域信任B域，意味着A域的資源有配置設定給B域使用者的可能性，但并非必然性！如果不進行資源配置設定，B域的使用者無法獲得任何資源！有些朋友誤以為隻要兩個域之間存在信任關系，被信任域的使用者就一定可以無條件地獲得信任域内的所有資源，這個了解是錯誤的。

         在NT4的域時代，信任關系是不具有傳遞性的。也就是說如果A域信任B域，B域信任C域，那麼A域和C域沒有任何關系。如果信任關系有傳遞性，那麼我們就可以推導出A域是信任C域的。信任關系沒有傳遞性極大地降低了靈活性，你可以想象一下如果70個域都要建立完全信任關系，那麼需要多麼大的工作量。而且這種犧牲靈活性的做法也沒有獲得安全上的補償，是以微軟在Win2000釋出時，允許在域樹和域林内進行信任關系的傳遞，在Win2003/2008/2008r2的傳遞。

         本文中我們将通過一個執行個體為大家介紹如何建立域信任關系拓撲如下圖所示，目前網絡中有兩個域，一個域是fu.om域是hl.net

首先我盟設定轉發器或跟提示之類的東西讓fu.com能夠解析到hl.net。如下圖 

<a target="_blank" href="http://blog.51cto.com/attachment/201211/183023514.jpg"></a>

然後我們準備建構一個單向信任關系，讓fu.cm域信任hl.net域，根據之前的分析，fu想信任hl，必須征得被信任域的同意，是以我們先在hl.net域上進行操作。在hl.net的域控制器上打開管理工作中的域和信任關系，如下圖所示，右鍵點選hl.net域，選擇“屬性”。  

<a target="_blank" href="http://blog.51cto.com/attachment/201211/183023750.jpg"></a>

輸入有信任關系域的名稱，如下圖所示，我們輸入域名為

選擇信任方向，内傳指的是被其他域信任，外傳則是信任其他域。由于fu.COM信任hl.COM，是以hl的信任方向應該選擇單向内傳。

然後我們要選擇是在兩個域控制器上分别設定信任關系還是同時設定信任關系，為了更清晰地示範這個過程，我們選擇在兩個域控制器上分别進行信任關系的設定。如果對域信任關系已經熟練掌握，完全可以選擇在兩個域控制器上同時進行操作。

輸入一個信任密碼，隻有信任域能回答出這個密碼，信任關系才可以建立。

如下圖所示，我們發現位置清單中已經有hl.com域了，我們現在已經可以把資源配置設定給hl.com域的使用者了，單向域信任關系建立成功了。

如下圖所示，為了保證不被其他域惡意信任，hl.com設定了一個信任密碼，隻有信任域能回答出這個密碼，信任關系才可以建立。

如下圖所示，信任向導已經做好準備，點選下一步繼續。

接下來要選擇是否确認傳入信任關系，由于我們還沒有在a.com域中進行設定，是以我們先選擇“否，不确認傳入信任”。

如下圖所示，信任關系建立成功，點選完成結束hl.com域的設定工作。

hl.com允許被a.com信任後，我們接下來就可以在a.COM的域控制器 上設定信任關系，讓a.COM主動信任hl.COM。我們在 的管理工具中打開域和信任關系，在域的屬性中切換到信任标簽，如下圖所示，點選“建立信任”。

出現建立信任向導，點選“下一步”繼續。

信任名稱為fu.com

對于a.com來說信任方向應該是單向外傳

我們選擇隻是在a.COM域進行信任關系的設定，并不涉及hl.COM域

下步來我們要選擇使用者身份驗證的範圍，我們選擇全域性身份驗證，這樣配置設定資源時會更加靈活。

如下圖所示，域信任向導已經做好了準備，點選下一步繼續

完成信任關系操作我們來看看設定信任後的效果，我們在a.com的域控制器 上找到一個檔案夾，看看能否把檔案夾的通路權限配置設定給hl.com的使用者。我們在檔案夾屬性中找到安全标簽，點選添加按鈕，如下圖所示，點選“位置”。

本文轉自legendfu51CTO部落格，原文連結： http://blog.51cto.com/legendfu/1074325，如需轉載請自行聯系原作者