域信任关系
域信任关系的基本概念
一.什么是信任, 为什么要在域之间建立信任关系? 域是安全边界,若无信任关系,域用户帐户只能在本域内使用。 信任关系在两个域之间架起了一座桥梁,使得域用户帐户可以跨域使用。 确切地说就是:信任关系使一个域地DC可以验证其他域的用户,这种身份验证需要 信任路径。例如:A域与B域没有信任关系,A域上的员工使用自己在A域的帐户,将 不能访问B域上的资源。 总之,两个域之间只有建立适当的信任关系后才可以实现互相访问,这就像两个国家之间 要进行友好往来需要建立外交关系一样。
二.信任的方向 信任是有方向的,信任的方向决定了资源访问的方向。 例如,如果a域信任b域,那么b域中的用户就可以访问a域中的资源。在window server 2003 中默认建立的信任关系都是双向的,手工建立的则可以根据访问需要建立单项或双向的信任关系。 所有信任关系中只能有两个域:信任域和受信任域。 有一个信任关系:A域信任B域,其中A域是信任域,B域是受信任域,这个信任关系 指明B域是受A域信任的域,即B域的用户帐户可以访问A域的资源(在拥有相应权限 的前提下)。从这里我们可以看出,信任关系具有方向性,这个信任关系是单向信 任,B域的用户可以访问A域的资源,但A域的用户还不能访问B域的资源。 还有一种信任关系:A域和B域之间的双向信任(A域信任B域,且B域信任A域), 在这种信任关系下,A域和B域的用户帐户都能访问对方域的资源,因为这两个域都 得到了对方域的信任。
三.信任的传递性 信任根据它的传递性可以分为可传递的和不可传递的。 如果A域和B域之间的信任是可传递的,B域和C域之间的信任也是可传递的,那么A域 和C域之间就自动创建了信任关系。 如果A域和B域之间的信任是不可传递的,或者B域和C域之间的信任是不可传递的,那么A域和C域之间不会自动创建了信任关系。
四、信任的工作方式 目录林中的两棵树之间及每棵树的父域之间都存在双向的信任关系。如果B域中的用户要 访问Y域中的资源,用户所在的客户端计算机会先联系B域的DC进行资源访问验证,因为 要访问的资源不在本域,所以验证的请求会沿着信任的路径传递到资源所在的Y域,并最 终进行资源的访问。
五.信任的类型: 1.默认信任 默认信任是系统自动建立的信任关系,不需要我们通过配置建立信任。默认信任有以 下几种: (1) 父子信任:在森林中,父子域之间存在的信任关系,称为父子信任,在默认情况下, 当现有域树中添加新的子域时,将自动建立父子信任关系。这种信任是双向的可传递 的信任关系。 (2) 域间(树根)信任关系:在森林中两棵树之间存在的信任关系,称为域间信任关系, 在一个森林中建立第二棵树的时候将自动创建一新的树根信任关系。这个信任是双向 的可传递的。 2.其他信任 以下几种信任关系不是系统自动创建的,需要我们手动创建,把它们归为“其他信任”。 (1) 快捷信任:在同一个森里的两棵树中的两个子树,默认的信任关系是通过信任 关系的传递完成的信任,例如,sales.yb.com信任yb.com,yb.com信任关系的传递完成的信任,例如,sales.yb.com信任yb.com,yb.com信任support.yb.com,则sales.yb.com信任support.yb.com,但是这个信任是的路径很 长,在访问的时候,造成网络流量的增加和访问速度的变慢,访问效率低下。 我们可以建立sales.yb.com和support.yb.com之间的快捷信任,来提高访问效率。 注意:快捷信任是构建在同一个森林的信任关系下的。这种信任是双向或单向的,可 传递的信任关系。 (2) 外部信任:构建在两个不同的森林或者两个不同的域(一个是windows2000 域,一个是windows2003域)之间的信任关系。这种信任是双向或单向的,不 可传递的信任关系。 (3) 森林信任:如果在windows server 2003功能级别,可以在两个森林之间创建一个森林信任关系。这个信任是单向或双向的,可传递的信任关系。 注意:森林信任只能在两个林的根域上建立。 (4) 领域信任:不同系统之间