域信任關(guān)系實(shí)驗(yàn)

2017-03-27

8398

電話：021-64519261 021-64519262傳真：021-64519261網(wǎng)址：w ww. yan gba ng. cn地址：龍吳路51號(hào)1號(hào)樓6樓域信任關(guān)系基本概念一．什么是信任, 為什

電話：021-64519261 021-64519262

傳真：021-64519261

網(wǎng)址：w ww. yan gba ng. cn

地址：龍吳路51號(hào)1號(hào)樓6樓

域信任關(guān)系

基本概念

一．什么是信任, 為什么要在域之間建立信任關(guān)系？

域是安全邊界，若無信任關(guān)系，域用戶帳戶只能在本域內(nèi)使用。信任關(guān)系在兩個(gè)域之間架起了一座橋梁，使得域用戶帳戶可以跨域使用。確切地說就是：信任關(guān)系使一個(gè)域地DC 可以驗(yàn)證其他域的用戶，這種身份驗(yàn)證需要信任路徑。例如：A 域與B 域沒有信任關(guān)系，A 域上的員工使用自己在A 域的帳戶，將不能訪問B 域上的資源。

二．信任的類型：

1．默認(rèn)信任

默認(rèn)信任是系統(tǒng)自動(dòng)建立的信任關(guān)系，不需要我們通過配置建立信任。默認(rèn)信任有以下幾種：

（1）父子信任：在森林中，父子域之間存在的信任關(guān)系，稱為父子信任，在默認(rèn)情況下，

當(dāng)現(xiàn)有域樹中添加新的子域時(shí)，將自動(dòng)建立父子信任關(guān)系。這種信任是雙向的可傳遞的信任關(guān)系。

（2）域間信任關(guān)系：在森林中兩棵樹之間存在的信任關(guān)系，稱為域間信任關(guān)系，在一個(gè)

森林中建立第二棵樹的時(shí)候?qū)⒆詣?dòng)創(chuàng)建一新的樹根信任關(guān)系。這個(gè)信任是雙向的可傳遞的。

2．其他信任

以下幾種信任關(guān)系不是系統(tǒng)自動(dòng)創(chuàng)建的，需要我們手動(dòng)創(chuàng)建，把它們歸為“其他信任”。

（1）快捷信任：在同一個(gè)森里的兩棵樹中的兩個(gè)子樹，默認(rèn)的信任關(guān)系是通過信任關(guān)系

的傳遞完成的信任，例如，sales.yb.com 信任yb.com,yb.com 信任support.yb.com, 則sales.yb.com 信任support.yb.com ，但是這個(gè)信任是的路徑很長(zhǎng)，在訪問的時(shí)候，造成網(wǎng)絡(luò)流量的增加和訪問速度的變慢，訪問效率低下。我們可以建立sales.yb.com 和support.yb.com 之間的快捷信任，來提高訪問效率。

注意：快捷信任是構(gòu)建在同一個(gè)森林的信任關(guān)系下的。這種信任是雙向或單向的，可傳遞的信任關(guān)系。

（2）外部信任：構(gòu)建在兩個(gè)不同的森林或者兩個(gè)不同的域（一個(gè)是windows2000域，一

個(gè)是windows2003域）之間的信任關(guān)系。這種信任是雙向或單向的，不可傳遞的信任關(guān)系。

（3）森林信任：如果在windows server 2003功能級(jí)別，可以在兩個(gè)森林之間創(chuàng)建一個(gè)森

林信任關(guān)系。這個(gè)信任是單向或雙向的，可傳遞的信任關(guān)系。

注意：森林信任只能在兩個(gè)林的根域上建立。

三．信任的方向

所有信任關(guān)系中只能有兩個(gè)域：信任域和受信任域。

有一個(gè)信任關(guān)系：A 域信任B 域，其中A 域是信任域，B 域是受信任域，這個(gè)信任關(guān)系指明B 域是受A 域信任的域，即B 域的用戶帳戶可以訪問A 域的資源（在擁有相應(yīng)權(quán)限的前提下）。從這里我們可以看出，信任關(guān)系具有方向性，這個(gè)信任關(guān)系是單向信任，B 域的用戶可以訪問A 域的資源，但A 域的用戶還不能訪問B 域的資源。

還有一種信任關(guān)系：A 域和B 域之間的雙向信任（A 域信任B 域，且B 域信任A 域），在這種信任關(guān)系下，A 域和B 域的用戶帳戶都能訪問對(duì)方域的資源，因?yàn)檫@兩個(gè)域都得到 1