实例讲解活动目录域信任关系

   原创作品，允许转载，转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://magic3.blog.51cto.com/1146917/1341911    

   信任是在域之间建立的关系，可以使一个域中的用户由其他域中域控制器进行身份验证。

   一个林中的域之间的所有 Active Directory 信任都是双向的、可传递的信任。如下图所示:域 A 信任域 B，且域 B 信任域 C，则域 C 中的用户可以访问域 A 中的资源（如果这些用户被分配了适当的权限）.

   只有 Domain Admins 组中的成员才能管理信任关系.

信任协议

    域控制器使用两种协议之一对用户和应用程序进行身份验证：Kerberos version 5 (V5) 协议或 NTLM。Kerberos V5 协议是 Active Directory 域中的计算机的默认协议。如果事务中的任何计算机都不支持 Kerberos V5 协议，则使用 NTLM 协议.

信任方向

   单向信任:单向信任是在两个域之间创建的单向身份验证路径。这表示在域 A 和域 B 之间的单向信任中，域 A 中的用户可以访问域 B 中的资源。但是域 B 中的用户无法访问域 A 中的资源。单向信任可以是不可传递信任，也可以是可传递信任，这取决于创建的信任类型。

   双向信任:Active Directory 林中的所有域信任都是双向的、可传递的信任。创建新的子域时，系统将在新的子域和父域之间自动创建双向可传递信任。在双向信任中，域 A 信任域 B，并且域 B 信任域 A。这表示可以在两个域之间双向传递身份验证请求。双向关系可以是不可传递的，也可以是可传递的，这取决于所创建的信任类型。

信任类型

   包括外部信任(不可传递)、快捷方式信任(可传递)、领域信任（可传递或不可传递）、林信任(可传递)。

下面以实例讲解配置两个域之间的信任关系。

环境概述：

域A:fengdian.info  DC:pdc1.fengdian.info

域B:example.cn   DC:dc1.example.cn(由于是生产环境所以只能起名example，请谅解)

要求 域A <---> 域B  两个域相互信任，部分用户资源互访。

配置双向信任关系:

登录两台DC中的任一台，这里以登录域A的DC(pdc1.fengdian.info)为例:

开始->运行 输入 domain.msc，打开活动目录域和信任关系控制台：

定位到域名部分，右击"属性",切换到"信任选项卡":

【新建信任】，弹出新建信任向导：

可以看到，信任关系有如下几种类型，本域和同林或者异林中的域、本域和NT4.0域、本域和kerberos V5领域、本域和另一个林。

信任名称：这里指键入要建立信任关系的域、林或者领域的名称

信任类型：外部信任和林信任。

这里选择林信任，林信任使得另一个林中的各个域中的用户都可以在本林中可用域控制器汇总得到身份验证。相对外部信任而言，林信任放开的范围很大，两个林之间。

信任方向：

双向： 域A <---->域B 相互信任，可以互访。

单向(内传): 域A <----  域B，域B为信任域，域A为受信域，A可访问B，B不能访问A。

单向(外传): 域A ---->域B，域A为信任域，域B为受信域，B可访问A，A不可访问B。

信任方: 选择"此域和指定的域"

要创建域信任关系，至少是domain admins组的权限；

这里输入在要建立信任关系的对方域或者林中有权限的凭证

选择"全林性身份验证"

新建的信任摘要，可按【上一步】进行更改，检查无误，直接【下一步】

创建信任状态：

选择"是，传出信任"

选择"是，传入信任"

确认"传出"和"传入"信任后，双方的信任关系就创建完成了，不需要再登录另一台DC创建彼此信任了。

回到"属性" 切换到"信任"选项卡，发现"外向信任"和"内向信任"中都有了对方林或者域的名称。

登录另一台DC，查看信任关系:

可以看到，信任关系配置完成了，下面进行验证。

验证信任关系及资源互访:

域A(fengdian.info) 的DC上 ADUC中新建用户fengdian,

域B(example.cn) 的DC上 ADUC中新建用户example，如下图：

域A的DC执行以下操作：

新建共享目录fengdian，包含子文件fengdian.txt，设置域B的用户example读取权限；

域B的DC执行以下操作：

新建共享目录example，包含子文件example.txt，设置域A的用户fengdian读取权限；

模拟测试资源互访：

1.fengdian用户登录主机，并访问 \\dc1.example.cn\example:

可以看到，可是顺利打开目录及文件。说明 "域A<---- 域B"  已没有问题。

如图：

2.example 用户登录主机，并访问 \\pdc1.fengdian.info\fengdian:

也可以正常访问目录及文件。说明 "域 A ----> 域B" 已没有问题

经过测试，可以确认 域A <-----> 域B 信任关系已经形成。

通常情况下，测试环境和生产环境更多的是单向信任。这样在创建信任指定信任方向时，只选择单向内传或者单向外传就可以实现了。