活動目錄系列之八：信任（下）

各位好！今天咱們來學習一下如何在森林之間實現信任。經過活動目錄系列之七：信任（上）的學習，咱們知道了信任的含義，也知道在森林內部存在兩種不可刪除的信任：父子信任、樹根信任。這就是之因此咱們能夠在森林範圍內能夠無障礙的訪問資源和使用資源的緣由。但兩個不一樣的森林之間如何能實現上述的這種狀況呢？這就是咱們今天的話題。

   場景：兩個森林，一個是net.com域，有子域sub.net.com是父子域，一個是blogcn.com域。咱們要實現blogcn.com域信任 net.com域，這樣net.com域內的用戶能夠無需輸密碼便可訪問blogcn.com域的資源，也能夠在blogcn.com域內客戶機上登陸到本身的域。這種狀況常出如今兩個公司有合做的時候。上述能夠分紅兩種狀況：
   1. blogcn.com域和子域sub.net.com域存在某種信任關係。-->外部信任
   2. blogcn.com森林和net.com森林存在某種信任關係。 ----->林信任

1、blogcn.com域和子域sub.net.com域存在某種信任關係。-->外部信任
   這種信任關係只在指定的這兩個域之間存在這種信任關係，不會傳遞到其它域。咱們能夠直接在兩者之間作「外部信任」。
   假設blogcn.com----->sub.net.com （即前者信任後者）
   完成這種信任後：sub.net.com域內的用戶能夠在blogcn.com域上登陸到本身的域，同時sub.net.com域內的用戶能夠無需輸密碼便可訪問blogcn.com域的資源。

   操做：
   咱們直接在blogcn.com作單向外傳（箭頭向外），也能夠在sub.net.com上作單向內傳（箭頭向內）。
   1. 在兩個域的DNS上做DNS轉發，相互指向對應的DNSIP便可。此處就不用再贅述了吧。本身作就能夠了。
   2. 打開blogcn.com域的「AD域和信任關係」，在blogcn.com域上右擊選屬性，單擊「信任」--新建信任--在信任名稱處填寫「sub.net.com」，單擊下一步，如圖所示：


選「單向:外傳」，在下一步圖中選「這個域和指定的域」，繼續，輸入sub.net.com域的管理員及密碼，再次單擊，以下所示彙總信息：



此次作的是外部信任，單擊下一步，並選擇「是，確認傳出信任」，建立成功後，以下圖所示：

作好後，咱們來驗證一下，訪問資源和登陸問題。
咱們在sub.net.com的DC上利用UNC形式訪問\\n3.blogcn.com，以下圖所示：沒有輸密碼就打開了。

登陸驗證：把blogcn.com域的DC註銷從新登陸，會發現sub這個域，選擇sub,並輸入相應的該域的用戶名和密碼就能夠登陸進去了。固然你若是在blogcn.com域的DC上去驗證還要修改相應的策略，總之這個實驗咱們已經成功了。


（二）blogcn.com森林和net.com森林存在某種信任關係。 ----->林信任
   咱們此次實現兩個森林相互信任，咱們但願任意域的用戶均可隨意訪問任意林任意域的資源等，怎麼作呢？下面咱們開始。
   操做：
   1. 首先在兩個林的根DNS上作相互的DNS條件轉發。此處本身解決吧。
   2. 提高兩個森林的功能級別所有是2003林功能級別。以下所示：對於net.com林，能夠先提高sub.net.com子域和net.com域的域功能級別到windows 2003模式，再提高林功能級別是windows 2003。至於如何提高，不用講了吧，不會的話請留言。懶得寫了。
   3. 此次咱們在net.com林根上來作。打開domain.msc後，在net.com上右擊--屬性以下圖所示：

單擊信任，你會發現默認的存在「父子信任」，並且不可刪除，可傳遞的。
「新建信任」--輸入blogcn.com這個域，再次單擊下一步，出現以下圖所示：


注：若是不提高林功能級別是不會出現這個提示的。
選擇「林信任」，下一步，出現以下圖所示：


選擇「雙向」，下一步，選擇「這個域和指定的域」，下一步，輸入blogcn.com域的管理員和密碼，下一步，以下圖所示：

爲了簡單，咱們選擇「全林性身份驗證」，最後結果總述以下：

後面必定選擇「是，傳出信任」，最後完成後以下圖所示：


其實在blogcn.com的DC上的domain.msc上也能夠看到。至於驗證就不用了。這樣兩個森林作到了相互信任，資源訪問沒有任何問題了，若是想刪除信任關係，直接在上圖中選中後，單擊「刪除」就能夠了。

終於寫完了，一邊寫一邊作實驗帶截圖，真有些麻煩。好了，下次再見了。