活動目錄系列之七:信任(上) windows
在一個森林環境中,你們想沒想過一個問題,一個域用戶無論來自於哪一個域,它均可以作兩件事:一是能夠不用輸密碼就可訪問森林內任意域的計算機上的共享資源(固然最終能不能訪問,要看權限的設置,但至少能夠直接打開其計算機)。二是能夠在任意的計算機上登陸到本身的域。爲何會這樣呢?這其實就是「信任關係」所最終決定的。
那麼到底什麼是信任呢?信任有哪些好處?
咱們能夠這樣來理解:我信任你,那意味着什麼呢?其1個人物品(軟件資源)你能夠隨便用,其2個人車(硬件資源)你隨便開。而反之,我能用你的物品嗎?不能,由於我信任你,但你並不信任我,因此咱們所說的信任是有方向的。回到咱們的森林環境中,以下圖所示:
A域信任B域,A域就叫做「信任域」,B域就叫做「被信任域」,這個方向就至關於從A做一條向B的箭頭。那麼能夠實現什麼呢?dom

1.被信任域賬號(B域用戶)能夠具備訪問信任域(A域)中資源的能力。
2.被信任域(B域用戶)中的用戶能夠在信任域(A域)中的計算機上登陸到被信任域。
(一)信任方向:有單向和雙向兩種
a. 單向分爲內傳和外傳兩種
i.內傳指指定域信任本地域:在上圖中若是在B域上實現,就得作單向內傳(中箭了~~)
ii.外傳指本地域信任指定域:在上圖中若是在A域上實現,就得作單向外傳(箭頭朝外)
b. 雙向:指兩個域相互信任,就像兩個好朋友。
(二)2003信任的種類:
父子信任:可傳遞、雙向。自動創建,不可刪除。
樹根信任:可傳遞、雙向。自動創建,不可刪除。
快捷信任:可傳遞,單向或雙向
林信任:可傳遞,單向或雙向
外部信任:不可傳遞,單向或雙向(通常在2003域和NT4域之間或兩個林的任兩個域之間)
領域信任:不可或可傳遞,單向或雙向(通常在windows域或Kerberos V5系統如Unix之間)
(三)查看信任關係:
打開DC上的domain.msc(AD域和信任關係),在相應的域上右擊--屬性,在信任裏就能看到具體的該域信任的域以及被信任的域是什麼。圖示就免了吧~~
(四)林中的默認信任關係種類及特色
父子信任:在同一個域樹中父域和子域之間
樹根信任:在同一個林中的兩個域樹之間
特色:
a.默認創建,不可刪除,可傳遞。
b.自動創建
林中的域之間的信任關係是在建立子域或者域樹時自動建立的
c.傳遞信任
林中的域的信任關係是可傳遞的
如域A直接信任域B,域B直接信任域C,則域A信任域C
d.雙向信任
在兩個域之間有兩個方向上的兩條信任路徑
例如,域A信任域B,域B信任域A
(五)林間的信任關係:
林之間的信任分爲外部信任和林信任外部信任是指在不一樣林的域之間建立的不可傳遞的信任 林信任是Windows 2003林根域之間創建的信任爲任一林內的各個域之間提供一種單向或雙向的可傳遞信任關係 (六)林信任的應用場合:若是兩個森林要實現信任的話,只是依靠外部信任則須要在多個域之間建立,若是在兩個林根之間建立林信任就OK了,很是適合於兩個企業合併。(七)林信任的特色及建立注意事項:a. 要在兩個林上分別做DNS轉發。b. 林功能級別爲Windows Server 2003才能建立c. 只有在林根域之間才能建立d. 在創建林信任的兩個林中的每一個域之間的信任關係是可傳遞的e. 信任方向有單向和雙向兩種好了,先寫這些吧,下篇我分給你們講解如何在森林之間實現林信任,而其它信任關係實現相似。