域林之間的信任關(guān)系使用WIN2003創(chuàng)建的AD(域林) 中的各個(gè)域之間的信任關(guān)系默認(rèn)就是雙向信任可傳遞的。那么，如果企業(yè)的應(yīng)用中如果出現(xiàn)了兩個(gè)林或更多的林時(shí)，還要進(jìn)行相互的資源訪問(wèn)時(shí)，我們?cè)撛趺崔k?

域林之間的信任關(guān)系

使用WIN2003創(chuàng)建的AD(域林) 中的各個(gè)域之間的信任關(guān)系默認(rèn)就是雙向信任可傳遞的。那么，如果企業(yè)的應(yīng)用中如果出現(xiàn)了兩個(gè)林或更多的林時(shí)，還要進(jìn)行相互的資源訪問(wèn)時(shí)，我們?cè)撛趺崔k? 因?yàn)槟J(rèn)只是同在一個(gè)域林中才能雙向信任可傳遞，兩個(gè)域林(AD)間沒(méi)有這個(gè)關(guān)系，那么就需要我們手動(dòng)來(lái)配置域林之間的信任關(guān)系，從而來(lái)保證不同域林中的資源互訪。比如說(shuō)企業(yè)之間的兼并問(wèn)題，兩個(gè)公司之前都使用的是MS 的AD 來(lái)管理，那么大家可想而知這兩家企業(yè)之前肯定是兩個(gè)域林，那么現(xiàn)在兼并后，如何讓這兩個(gè)域林之間能夠建立信任關(guān)系嗎? 都有什么方法呢? 那今天我們就來(lái)學(xué)習(xí)一下如何創(chuàng)建域林之間的信任關(guān)系! 在一個(gè)林中林之間的信任分為外部信任和林信任兩種：

⑴ 外部信任是指在不同林的域之間創(chuàng)建的不可傳遞的信任

⑵ 林信任是Windows Server 2003林根域之間建立的信任，為任一域林內(nèi)的各個(gè)域之間提供一種單向或雙向的可傳遞信任關(guān)系。

1. 創(chuàng)建外部信任

創(chuàng)建外部信任之前需要設(shè)置DNS 轉(zhuǎn)發(fā)器：在兩個(gè)林的DC 之間的DNS 服務(wù)器各配置轉(zhuǎn)發(fā)器： 在aptech.com 域中能解析benet.net ，在benet.net 域中能解析aptech.com

⑴ 首先我們?cè)赼ptech.com 域的DC 上配置DNS 服務(wù)器設(shè)置轉(zhuǎn)發(fā)器，把所有benet.net 域的解析工作都轉(zhuǎn)發(fā)到192.168.6.6這臺(tái)機(jī)器上：

1

配置后DNS 轉(zhuǎn)發(fā)后去PING 一下benet.net ，看是否連通，如果通即可：

然后再在另一個(gè)域benet.net 中的DC 的DNS 服務(wù)器也同樣設(shè)置DNS 轉(zhuǎn)發(fā)，把a(bǔ)ptech.com 的轉(zhuǎn)發(fā)到192.168.6.1的機(jī)器上來(lái)：

2

同樣PING 一下aptech.com ，看是否能PING 通：

⑵ 準(zhǔn)備工作做好后，就開(kāi)始創(chuàng)建外部信任：

首先在aptech.com 域的DC 上打開(kāi)"AD 域和信任關(guān)系" 工具，在aptech.com 域的" 屬性" 中的" 信任" 選項(xiàng)卡：

3

單擊" 新建信任" ：

輸入信任名稱(chēng)(這里要注意是你這個(gè)域要信任的域) ：

4

選擇" 單向：外傳" ：

雙向：本地域信任指定域，同時(shí)指定域信任本地域

單向：內(nèi)傳：指定域信任本地域(換句話說(shuō)就是，你信任我的關(guān)系)

單向：外傳：本地域信任指定域(例如，aptech.com 域信任benet.net 域，我信任你的關(guān)系)

注意：由于信任關(guān)系是在兩個(gè)域之間建立的，如果在域A(本地域) 建立一個(gè)" 單向：外傳" 信任，則需要在

5

域B(指定域) 必須建立一個(gè)" 單向：內(nèi)傳" 信任. 但如果選擇了" 這個(gè)域和指定的域" 單選按鈕，就會(huì)在指定域自動(dòng)建立一個(gè)" 單向：內(nèi)傳" 的信任!

輸入指定域中有管理權(quán)限的用戶名和密碼：

6

7

⑶ 創(chuàng)建完成后，驗(yàn)證方法可以使用： 在aptech.com 域的DC 上查看信任關(guān)系：

8

在benet.net 域的DC 上查看信任關(guān)系：

還有一種驗(yàn)證方法就是被信任域的用戶可以到信任域的計(jì)算機(jī)上登錄，在信任域的計(jì)算機(jī)上的登錄對(duì)話框

9

中有被信任域名，說(shuō)明可以輸入被信任域的帳戶登錄(前提是要賦予該帳戶登錄的權(quán)限) ：

但是否能登錄還是要看權(quán)限，因?yàn)槟J(rèn)情況下是不能登錄到DC 的，那么在本地域的" 域控制器安全策略" 中打開(kāi)" 安全策略-" 本地策略"-"" 用戶權(quán)限分配"-" 允許在本地登錄" 中添加被信任域的管理員即可!

⑷ 林之間的外部信任的特點(diǎn)：

手工建立

林之間的信任關(guān)系需要手工創(chuàng)建

信任關(guān)系不可傳遞

林中的域的信任關(guān)系是不可傳遞的

例如，域A 直接信任域B ，域B 直接信任域C ，不能得出域A 信任域C 的結(jié)論

信任方向有單向和雙向兩種

單向分為內(nèi)傳和外傳兩種

內(nèi)傳指指定域信任本地域

外傳指本地域信任指定域

⑸ 創(chuàng)建好林中的信任關(guān)系后可以進(jìn)行跨域訪問(wèn)資源

應(yīng)用AGDLP 規(guī)則實(shí)現(xiàn)跨域訪問(wèn)

具體規(guī)則是：

① 被信任域的帳戶加入到本域的全局組

② 被信任域的全局組加入到信任域的本地域組

③ 給信任域的本地域組設(shè)置權(quán)限

2. 創(chuàng)建林信任

外部信任為不同域之間跨域訪問(wèn)資源提供了方法，但如果兩個(gè)林中有許多域，要跨域訪問(wèn)資源就需要常見(jiàn)很多個(gè)外部信任，有沒(méi)有簡(jiǎn)單方法呢? 當(dāng)然是有的，那就是只用在林根域之間建立林信任就不需要?jiǎng)?chuàng)建多個(gè)外部信任，因?yàn)榱中湃问强蓚鬟f的。

創(chuàng)建林信任與創(chuàng)建外部信任的方法類(lèi)似，不同的是在創(chuàng)建林信任之前要升級(jí)林功能級(jí)別為Windows Server 2003模式。(解釋一下，在WIN2003中創(chuàng)建的域模式共有三種，NT 混合模式，WIN2000本機(jī)模式和WIN2003純模式，域模式是用來(lái)為了兼容老版本操作系統(tǒng)的域控制器，而限制某些新的功能。) 這是創(chuàng)建林信任的前提條件。升級(jí)林功能級(jí)別之前，需要將林中所有域的域功能級(jí)別設(shè)置為WIN2000模式或WIN2003模式。 10