原創作品,允許轉載,轉載時請務必以超鏈接形式標明文章 原始出處 、作者信息和本聲明。否則將追究法律責任。http://magic3.blog.51cto.com/1146917/1341911
信任是在域之間建立的關係,可以使一個域中的用戶由其他域中域控制器進行身份驗證。
一個林中的域之間的所有 Active Directory 信任都是雙向的、可傳遞的信任。如下圖所示:域 A 信任域 B,且域 B 信任域 C,則域 C 中的用戶可以訪問域 A 中的資源(如果這些用戶被分配了適當的權限).
只有 Domain Admins 組中的成員才能管理信任關係.
信任協議
域控制器使用兩種協議之一對用戶和應用程序進行身份驗證:Kerberos version 5 (V5) 協議或 NTLM。Kerberos V5 協議是 Active Directory 域中的計算機的默認協議。如果事務中的任何計算機都不支持 Kerberos V5 協議,則使用 NTLM 協議.
信任方向
單向信任:單向信任是在兩個域之間創建的單向身份驗證路徑。這表示在域 A 和域 B 之間的單向信任中,域 A 中的用戶可以訪問域 B 中的資源。但是域 B 中的用戶無法訪問域 A 中的資源。單向信任可以是不可傳遞信任,也可以是可傳遞信任,這取決於創建的信任類型。
雙向信任:Active Directory 林中的所有域信任都是雙向的、可傳遞的信任。創建新的子域時,系統將在新的子域和父域之間自動創建雙向可傳遞信任。在雙向信任中,域 A 信任域 B,並且域 B 信任域 A。這表示可以在兩個域之間雙向傳遞身份驗證請求。雙向關係可以是不可傳遞的,也可以是可傳遞的,這取決於所創建的信任類型。
信任類型
包括外部信任(不可傳遞)、快捷方式信任(可傳遞)、領域信任(可傳遞或不可傳遞)、林信任(可傳遞)。
下面以實例講解配置兩個域之間的信任關係。
環境概述:
域A:fengdian.info DC:pdc1.fengdian.info
域B:example.cn DC:dc1.example.cn(由於是生產環境所以只能起名example,請諒解)
要求 域A <---> 域B 兩個域相互信任,部分用戶資源互訪。
配置雙向信任關係:
登錄兩臺DC中的任一臺,這裏以登錄域A的DC(pdc1.fengdian.info)爲例:
開始->運行 輸入 domain.msc,打開活動目錄域和信任關係控制檯:
定位到域名部分,右擊"屬性",切換到"信任選項卡":
【新建信任】,彈出新建信任嚮導:
可以看到,信任關係有如下幾種類型,本域和同林或者異林中的域、本域和NT4.0域、本域和kerberos V5領域、本域和另一個林。
信任名稱:這裏指鍵入要建立信任關係的域、林或者領域的名稱
信任類型:外部信任和林信任。
這裏選擇林信任,林信任使得另一個林中的各個域中的用戶都可以在本林中可用域控制器彙總得到身份驗證。相對外部信任而言,林信任放開的範圍很大,兩個林之間。
信任方向:
雙向: 域A <---->域B 相互信任,可以互訪。
單向(內傳): 域A <---- 域B,域B爲信任域,域A爲受信域,A可訪問B,B不能訪問A。
單向(外傳): 域A ---->域B,域A爲信任域,域B爲受信域,B可訪問A,A不可訪問B。
信任方: 選擇"此域和指定的域"
要創建域信任關係,至少是domain admins組的權限;
這裏輸入在要建立信任關係的對方域或者林中有權限的憑證
選擇"全林性身份驗證"
新建的信任摘要,可按【上一步】進行更改,檢查無誤,直接【下一步】
創建信任狀態:
選擇"是,傳出信任"
選擇"是,傳入信任"
確認"傳出"和"傳入"信任後,雙方的信任關係就創建完成了,不需要再登錄另一臺DC創建彼此信任了。
回到"屬性" 切換到"信任"選項卡,發現"外向信任"和"內向信任"中都有了對方林或者域的名稱。
登錄另一臺DC,查看信任關係:
可以看到,信任關係配置完成了,下面進行驗證。
驗證信任關係及資源互訪:
域A(fengdian.info) 的DC上 ADUC中新建用戶fengdian,
域B(example.cn) 的DC上 ADUC中新建用戶example,如下圖:
域A的DC執行以下操作:
新建共享目錄fengdian,包含子文件fengdian.txt,設置域B的用戶example讀取權限;
域B的DC執行以下操作:
新建共享目錄example,包含子文件example.txt,設置域A的用戶fengdian讀取權限;
模擬測試資源互訪:
1.fengdian用戶登錄主機,並訪問 \\dc1.example.cn\example:
可以看到,可是順利打開目錄及文件。說明 "域A<---- 域B" 已沒有問題。
如圖:
2.example 用戶登錄主機,並訪問 \\pdc1.fengdian.info\fengdian:
也可以正常訪問目錄及文件。說明 "域 A ----> 域B" 已沒有問題
經過測試,可以確認 域A <-----> 域B 信任關係已經形成。
通常情況下,測試環境和生產環境更多的是單向信任。這樣在創建信任指定信任方向時,只選擇單向內傳或者單向外傳就可以實現了。