域信任關系實驗

2017-03-27

8398

電話：021-64519261 021-64519262傳真：021-64519261網(wǎng)址：w ww. yan gba ng. cn地址：龍吳路51號1號樓6樓域信任關系基本概念一．什么是信任, 為什

電話：021-64519261 021-64519262

傳真：021-64519261

網(wǎng)址：w ww. yan gba ng. cn

地址：龍吳路51號1號樓6樓

域信任關系

基本概念

一．什么是信任, 為什么要在域之間建立信任關系？

域是安全邊界，若無信任關系，域用戶帳戶只能在本域內(nèi)使用。信任關系在兩個域之間架起了一座橋梁，使得域用戶帳戶可以跨域使用。確切地說就是：信任關系使一個域地DC 可以驗證其他域的用戶，這種身份驗證需要信任路徑。例如：A 域與B 域沒有信任關系，A 域上的員工使用自己在A 域的帳戶，將不能訪問B 域上的資源。

二．信任的類型：

1．默認信任

默認信任是系統(tǒng)自動建立的信任關系，不需要我們通過配置建立信任。默認信任有以下幾種：

（1）父子信任：在森林中，父子域之間存在的信任關系，稱為父子信任，在默認情況下，

當現(xiàn)有域樹中添加新的子域時，將自動建立父子信任關系。這種信任是雙向的可傳遞的信任關系。

（2）域間信任關系：在森林中兩棵樹之間存在的信任關系，稱為域間信任關系，在一個

森林中建立第二棵樹的時候將自動創(chuàng)建一新的樹根信任關系。這個信任是雙向的可傳遞的。

2．其他信任

以下幾種信任關系不是系統(tǒng)自動創(chuàng)建的，需要我們手動創(chuàng)建，把它們歸為“其他信任”。

（1）快捷信任：在同一個森里的兩棵樹中的兩個子樹，默認的信任關系是通過信任關系

的傳遞完成的信任，例如，sales.yb.com 信任yb.com,yb.com 信任support.yb.com, 則sales.yb.com 信任support.yb.com ，但是這個信任是的路徑很長，在訪問的時候，造成網(wǎng)絡流量的增加和訪問速度的變慢，訪問效率低下。我們可以建立sales.yb.com 和support.yb.com 之間的快捷信任，來提高訪問效率。

注意：快捷信任是構建在同一個森林的信任關系下的。這種信任是雙向或單向的，可傳遞的信任關系。

（2）外部信任：構建在兩個不同的森林或者兩個不同的域（一個是windows2000域，一

個是windows2003域）之間的信任關系。這種信任是雙向或單向的，不可傳遞的信任關系。

（3）森林信任：如果在windows server 2003功能級別，可以在兩個森林之間創(chuàng)建一個森

林信任關系。這個信任是單向或雙向的，可傳遞的信任關系。

注意：森林信任只能在兩個林的根域上建立。

三．信任的方向

所有信任關系中只能有兩個域：信任域和受信任域。

有一個信任關系：A 域信任B 域，其中A 域是信任域，B 域是受信任域，這個信任關系指明B 域是受A 域信任的域，即B 域的用戶帳戶可以訪問A 域的資源（在擁有相應權限的前提下）。從這里我們可以看出，信任關系具有方向性，這個信任關系是單向信任，B 域的用戶可以訪問A 域的資源，但A 域的用戶還不能訪問B 域的資源。

還有一種信任關系：A 域和B 域之間的雙向信任（A 域信任B 域，且B 域信任A 域），在這種信任關系下，A 域和B 域的用戶帳戶都能訪問對方域的資源，因為這兩個域都得到 1