活動目錄的信任關係

原創地址：http://www.cnblogs.com/jfzhu/p/4002836.html

轉載請註明出處

 

 

若是你的活動目錄中，只有一個森林，一個域，那麼恭喜你，你的生活將很是愉快，你應該繼續保持這樣。

 

 

 

可是每每生活並不如意，好比像下面這家公司，有兩個獨立的部門，每一個部門都有本身的域、子域和命名空間。另外該公司還收購了另外一家公司，這家被收購的公司也有本身的森林、域和子域。

 

 

 

一個域裏的用戶想要訪問另外一個域裏的資源，是怎麼實現的呢？ 活動目錄爲父域和子域之間自動生成了一個雙向的，可傳遞的信任關係（two way, transitive trust）。可傳遞的信任關係，通俗點說，就是若是我信任你，那麼我也信任你所信任的域。

 

 

若是父域和子域之間不是可傳遞的信任關係，以該公司第一個部門爲例，咱們要建立以下圖所示如此之多的雙向、非可傳遞的信任關係。非可傳遞的信任關係能夠幫助你對各個域之間進行細粒度的控制，可是當域的數目較多時，非可傳遞的信任關係就變得難以維護了。

 

 

若是部門一里一個子域裏的用戶想要訪問部門二里某個子域裏的資源，部門一的域樹和部門二的域樹之間要創建一個Tree Trust。

 

 

可是像上圖所示，用戶要訪問其餘域裏的資源，要通過多層的信任關係才能達到，這樣效率不高。若是兩個域之間的距離較遠，但又有頻繁的訪問，能夠在兩個域之間創建一個Shortcut Trust。

 

 

若是母公司和被收購的公司之間的資源想要互相訪問，那麼在母公司的森林和子公司的森林之間要創建一個Forest Trust。Forest Trust也是可傳遞的（Transitive Trust）。

 

 

Windows的活動目錄若是須要和其餘目錄系統創建信任關係，若是其餘系統使用的也是Kerberos，那麼雙方能夠創建單向或者雙向，可傳遞或者非可傳遞的Realm Trust關係。

 

 

還有一種信任關係叫External Trust，在Windows 活動目錄和比較老的NT4系統之間使用。這種信任關係是單向、非可傳遞的，所以若是想創建雙向的信任關係，須要每一個方向都建立一個External Trust。

 

 

One way trust，若是域B裏的用戶想要訪問域A裏的資源，那麼A要相信B才行，因此信任關係的箭頭是從A指向B。因爲是單向信任關係，域A裏的用戶是沒法訪問到域B裏的資源的。另外信任關係只是提供了一條可能的訪問路徑，用戶是否容許訪問該資源，仍是須要對用戶權限進行配置。

 

 

 

總結：

信任關係又單向的、雙向的、可傳遞的和非可傳遞的。

父域和子域之間的信任關係是系統自動幫助創建的，是雙向可傳遞的信任關係。

Tree Trust也是雙向、可傳遞的信任關係。

除此以外還提到了Shortcut Trust, Forest Trust, Realm Trust和External Trust。