域信任關係
域信任關係的基本概念
一.什麼是信任, 爲什麼要在域之間建立信任關係?
域是安全邊界,若無信任關係,域用戶帳戶只能在本域內使用。
信任關係在兩個域之間架起了一座橋樑,使得域用戶帳戶可以跨域使用。
確切地說就是:信任關係使一個域地DC可以驗證其他域的用戶,這種身份驗證需要 信任路徑。例如:A域與B域沒有信任關係,A域上的員工使用自己在A域的帳戶,將 不能訪問B域上的資源。
總之,兩個域之間只有建立適當的信任關係後纔可以實現互相訪問,這就像兩個國家之間 要進行友好往來需要建立外交關係一樣。
二.信任的方向
信任是有方向的,信任的方向決定了資源訪問的方向。
例如,如果a域信任b域,那麼b域中的用戶就可以訪問a域中的資源。在window server 2003 中默認建立的信任關係都是雙向的,手工建立的則可以根據訪問需要建立單項或雙向的信任關係。
所有信任關係中只能有兩個域:信任域和受信任域。
有一個信任關係:A域信任B域,其中A域是信任域,B域是受信任域,這個信任關係 指明B域是受A域信任的域,即B域的用戶帳戶可以訪問A域的資源(在擁有相應權限 的前提下)。從這裏我們可以看出,信任關係具有方向性,這個信任關係是單向信 任,B域的用戶可以訪問A域的資源,但A域的用戶還不能訪問B域的資源。
還有一種信任關係:A域和B域之間的雙向信任(A域信任B域,且B域信任A域), 在這種信任關係下,A域和B域的用戶帳戶都能訪問對方域的資源,因爲這兩個域都 得到了對方域的信任。
三.信任的傳遞性
信任根據它的傳遞性可以分爲可傳遞的和不可傳遞的。
如果A域和B域之間的信任是可傳遞的,B域和C域之間的信任也是可傳遞的,那麼A域 和C域之間就自動創建了信任關係。
如果A域和B域之間的信任是不可傳遞的,或者B域和C域之間的信任是不可傳遞的,那麼A域和C域之間不會自動創建了信任關係。
四、信任的工作方式
目錄林中的兩棵樹之間及每棵樹的父域之間都存在雙向的信任關係。如果B域中的用戶要 訪問Y域中的資源,用戶所在的客戶端計算機會先聯繫B域的DC進行資源訪問驗證,因爲 要訪問的資源不在本域,所以驗證的請求會沿着信任的路徑傳遞到資源所在的Y域,並最 終進行資源的訪問。
五.信任的類型:
1.默認信任 默認信任是系統自動建立的信任關係,不需要我們通過配置建立信任。默認信任有以 下幾種:
(1) 父子信任:在森林中,父子域之間存在的信任關係,稱爲父子信任,在默認情況下, 當現有域樹中添加新的子域時,將自動建立父子信任關係。這種信任是雙向的可傳遞 的信任關係。
(2) 域間(樹根)信任關係:在森林中兩棵樹之間存在的信任關係,稱爲域間信任關係, 在一個森林中建立第二棵樹的時候將自動創建一新的樹根信任關係。這個信任是雙向 的可傳遞的。
2.其他信任 以下幾種信任關係不是系統自動創建的,需要我們手動創建,把它們歸爲“其他信任”。
(1) 快捷信任:在同一個森裏的兩棵樹中的兩個子樹,默認的信任關係是通過信任 關係的傳遞完成的信任,例如,sales.yb.com信任yb.com,yb.com信任關係的傳遞完成的信任,例如,sales.yb.com信任yb.com,yb.com信任support.yb.com,則sales.yb.com信任support.yb.com,但是這個信任是的路徑很 長,在訪問的時候,造成網絡流量的增加和訪問速度的變慢,訪問效率低下。 我們可以建立sales.yb.com和support.yb.com之間的快捷信任,來提高訪問效率。
注意:快捷信任是構建在同一個森林的信任關係下的。這種信任是雙向或單向的,可 傳遞的信任關係。
(2) 外部信任:構建在兩個不同的森林或者兩個不同的域(一個是windows2000 域,一個是windows2003域)之間的信任關係。這種信任是雙向或單向的,不 可傳遞的信任關係。
(3) 森林信任:如果在windows server 2003功能級別,可以在兩個森林之間創建一個森林信任關係。這個信任是單向或雙向的,可傳遞的信任關係。 注意:森林信任只能在兩個林的根域上建立。
(4) 領域信任:不同系統之間