實例講解活動目錄域信任關係

原創 goride 2019-02-22 22:28

   原創作品,允許轉載,轉載時請務必以超鏈接形式標明文章 原始出處 、作者信息和本聲明。否則將追究法律責任。http://magic3.blog.51cto.com/1146917/1341911    

   信任是在域之間建立的關係,可以使一個域中的用戶由其他域中域控制器進行身份驗證。

   一個林中的域之間的所有 Active Directory 信任都是雙向的、可傳遞的信任。如下圖所示:域 A 信任域 B,且域 B 信任域 C,則域 C 中的用戶可以訪問域 A 中的資源(如果這些用戶被分配了適當的權限).

   只有 Domain Admins 組中的成員才能管理信任關係.

113632523.png


信任協議

    域控制器使用兩種協議之一對用戶和應用程序進行身份驗證:Kerberos version 5 (V5) 協議或 NTLM。Kerberos V5 協議是 Active Directory 域中的計算機的默認協議。如果事務中的任何計算機都不支持 Kerberos V5 協議,則使用 NTLM 協議.


信任方向


   單向信任:單向信任是在兩個域之間創建的單向身份驗證路徑。這表示在域 A 和域 B 之間的單向信任中,域 A 中的用戶可以訪問域 B 中的資源。但是域 B 中的用戶無法訪問域 A 中的資源。單向信任可以是不可傳遞信任,也可以是可傳遞信任,這取決於創建的信任類型。


   雙向信任:Active Directory 林中的所有域信任都是雙向的、可傳遞的信任。創建新的子域時,系統將在新的子域和父域之間自動創建雙向可傳遞信任。在雙向信任中,域 A 信任域 B,並且域 B 信任域 A。這表示可以在兩個域之間雙向傳遞身份驗證請求。雙向關係可以是不可傳遞的,也可以是可傳遞的,這取決於所創建的信任類型。


信任類型

   包括外部信任(不可傳遞)、快捷方式信任(可傳遞)、領域信任(可傳遞或不可傳遞)、林信任(可傳遞)。



下面以實例講解配置兩個域之間的信任關係。


環境概述:

域A:fengdian.info  DC:pdc1.fengdian.info

域B:example.cn   DC:dc1.example.cn(由於是生產環境所以只能起名example,請諒解)

要求 域A <---> 域B  兩個域相互信任,部分用戶資源互訪。


配置雙向信任關係:


登錄兩臺DC中的任一臺,這裏以登錄域A的DC(pdc1.fengdian.info)爲例:


開始->運行 輸入 domain.msc,打開活動目錄域和信任關係控制檯:

定位到域名部分,右擊"屬性",切換到"信任選項卡":


140123697.png

140125511.png


【新建信任】,彈出新建信任嚮導:

可以看到,信任關係有如下幾種類型,本域和同林或者異林中的域、本域和NT4.0域、本域和kerberos V5領域、本域和另一個林。

140445917.png


信任名稱:這裏指鍵入要建立信任關係的域、林或者領域的名稱

140447277.png


信任類型:外部信任和林信任。

這裏選擇林信任,林信任使得另一個林中的各個域中的用戶都可以在本林中可用域控制器彙總得到身份驗證。相對外部信任而言,林信任放開的範圍很大,兩個林之間。

140449363.png


信任方向:

雙向: 域A <---->域B 相互信任,可以互訪。

單向(內傳): 域A <----  域B,域B爲信任域,域A爲受信域,A可訪問B,B不能訪問A。

單向(外傳): 域A ---->域B,域A爲信任域,域B爲受信域,B可訪問A,A不可訪問B。

140451451.png


信任方: 選擇"此域和指定的域"

141826390.png


要創建域信任關係,至少是domain admins組的權限;

這裏輸入在要建立信任關係的對方域或者林中有權限的憑證

141828166.png


選擇"全林性身份驗證"

141830425.png

141832380.png

141834952.png


新建的信任摘要,可按【上一步】進行更改,檢查無誤,直接【下一步】

141836112.png


創建信任狀態:

142421964.png


選擇"是,傳出信任"

142423432.png


選擇"是,傳入信任"

142425472.png


確認"傳出"和"傳入"信任後,雙方的信任關係就創建完成了,不需要再登錄另一臺DC創建彼此信任了。

142754619.png


回到"屬性" 切換到"信任"選項卡,發現"外向信任"和"內向信任"中都有了對方林或者域的名稱。

142756852.png


登錄另一臺DC,查看信任關係:

143118800.png


可以看到,信任關係配置完成了,下面進行驗證。


驗證信任關係及資源互訪:


域A(fengdian.info) 的DC上 ADUC中新建用戶fengdian,

域B(example.cn) 的DC上 ADUC中新建用戶example,如下圖:

144021700.png144023805.png


域A的DC執行以下操作:

新建共享目錄fengdian,包含子文件fengdian.txt,設置域B的用戶example讀取權限;

144325526.png


域B的DC執行以下操作:

新建共享目錄example,包含子文件example.txt,設置域A的用戶fengdian讀取權限;


144158759.png


模擬測試資源互訪:


1.fengdian用戶登錄主機,並訪問 \\dc1.example.cn\example:

144817295.png

144819767.png


可以看到,可是順利打開目錄及文件。說明 "域A<---- 域B"  已沒有問題。

如圖:

150145300.png

2.example 用戶登錄主機,並訪問 \\pdc1.fengdian.info\fengdian:

145340249.png

145342203.png



也可以正常訪問目錄及文件。說明 "域 A ----> 域B" 已沒有問題

145344177.png


經過測試,可以確認 域A <-----> 域B 信任關係已經形成。


通常情況下,測試環境和生產環境更多的是單向信任。這樣在創建信任指定信任方向時,只選擇單向內傳或者單向外傳就可以實現了。



發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Windows 2000 Active Directory FSMO 角色

lingping 2019-02-23 14:05:54

更改域控制器名字

zongxn 2019-02-23 13:41:41

域控制器災難恢復之偷樑換柱

zhanglong0123 2019-02-23 13:29:47

課堂筆記----Playframe work

雨鑫慌雨 2019-02-23 13:24:38

存儲程序原理

ncusoho 2019-02-23 14:06:17

RAID

zheng4918 2019-02-23 14:05:40

。。Linux。。

夢與時光眠 2019-02-23 13:51:55

計算機證明的全球第一美女

109573496ld 2019-02-23 13:43:17

計算機網絡安全應急響應中心

ifuckyours 2019-02-23 13:40:57

轉載 什麼樣的計算機書纔是市場需要的——2009年計算機圖書選題策劃方向(一)

chenrui2010 2019-02-23 13:22:48

出版的書籍

chenrui2010 2019-02-23 13:22:48

java性能優化筆記(一)概述

kid2412 2019-02-24 13:34:36

Nagios 3.2 監控部署(一)

samplelife 2019-02-23 13:57:35

android基礎

尋夢緣2008 2019-02-23 13:56:52

解決media player內部應用程序錯誤

lhslllj 2019-02-23 13:50:59