理解域信任關係
在同一個域內,成員服務器根據Active Directory中的用戶賬號,可以很容易地把資源分配給域內的用戶。但一個域的作用範圍畢竟有限,有些企業會用到多個域,那麼在多域環境下,我們該如何進行資源的跨域分配呢?也就是說,我們該如何把A域的資源分配給B域的用戶呢?一般來說,我們有兩種選擇,一種是使用鏡像賬戶。也就是說,我們可以在A域和B域內各自創建一個用戶名和口令都完全相同的用戶賬戶,然後在B域把資源分配給這個賬戶後,A域內的鏡像賬戶就可以訪問B域內的資源了。
鏡像賬戶的方法顯然不是一個好的選擇,至少賬戶的重複建設就很讓管理員頭疼。資源跨域分配的主流方法還是創建域信任關係,在兩個域之間創建了信任關係後,資源的跨域分配就非常容易了。域信任關係是有方向性的,如果A域信任B域,那麼A域的資源可以分配給B域的用戶;但B域的資源並不能分配給A域的用戶,如果想達到這個目的,需要讓B域信任A域纔可以。
如果A域信任了B域,那麼A域的域控制器將把B域的用戶賬號複製到自己的Active Directory中,這樣A域內的資源就可以分配給B域的用戶了。從這個過程來看,A域信任B域首先需要徵得B域的同意,因爲A域信任B域需要先從B域索取資源。這點和我們習慣性的理解不同,信任關係的主動權掌握在被信任域手中而不是信任域。
A域信任B域,意味着A域的資源有分配給B域用戶的可能性,但並非必然性!如果不進行資源分配,B域的用戶無法獲得任何資源!有些朋友誤以爲只要兩個域之間存在信任關係,被信任域的用戶就一定可以無條件地獲得信任域內的所有資源,這個理解是錯誤的。我剛工作時在一家港資企業擔任網絡管理工作,企業的香港公司是一個域,深圳公司也是一個域。有一次我們需要把兩家公司的Exchange服務器進行站點連接,這個操作需要兩個域建立信任關係,但當時一位老工程師堅決不同意建立信任關係。他的理由是隻要建立信任關係,香港公司的資料就全被深圳公司的員工看到了。這個理由很山寨,很明顯對域信任關係的理解有些是是而非。我通過一個實驗糾正了他的錯誤概念,事實證明,深圳公司和香港公司建立了域信任關係後,安全性並沒有因此降低。
在NT4的域時代,信任關係是不具有傳遞性的。也就是說如果A域信任B域,B域信任C域,那麼A域和C域沒有任何關係。如果信任關係有傳遞性,那麼我們就可以推導出A域是信任C域的。信任關係沒有傳遞性極大地降低了靈活性,你可以想象一下如果70個域都要建立完全信任關係,那麼需要多麼大的工作量。而且這種犧牲靈活性的做法也沒有獲得安全上的補償,因此微軟在Win2000發佈時,允許在域樹和域林內進行信任關係的傳遞,在Win2003中更是允許在域林之間進行信任關係的傳遞。
下篇博文中我們將通過一個實例爲大家介紹如何進行信任關係的創建,敬請期待。
本文出自 “嶽雷的微軟網絡課堂” 博客,請務必保留此出處http://yuelei.blog.51cto.com/202879/175728