《8、域信任关系》由会员分享,可在线阅读,更多相关《8、域信任关系(19页珍藏版)》请在金锄头文库上搜索。
1、域信任关系,主讲:丁文,本讲主要内容:,域信任基本概念 建立信任 管理和删除信任,8.1 域信任基本概念,“信任”是两个域之间沟通的桥梁,两个域相互信任之后,双方的用户便可以访问对方域内的资源、利用对方域的计算机登录。,8.1.1 信任域与被信任域,当A域“信任”B域后: A域被称为“信任域”,而B域被称为“被信任域” B域的用户只要具备适当的权限,就可以访问A域的资源,如文件、打印机等,因此A域又被称为“资源域”,而B域被称为“账户域” B域的用户可以到A域内的计算机上登录,信任,A域,B域,服务器,工作站,信任域,被信任域,8.1.2 跨域访问资源的流程,用户在登陆的时候,系统必须验证用户
2、的身份,而在验证身份的过程中,除了必须确认用户账户名称与密码无误外,系统还会替用户建立一个“access token”,这个访问令牌内包含着该用户账户的SID、用户所隶属的所有组的SID等数据。用户取得这个访问本地计算机内的资源时,出示访问令牌,而系统会根据访问令牌内的SID数据,来决定用户拥有何种权限来访问这个资源。,注意:,由于访问令牌是在登陆(本地登陆或网络登陆)时建立的,因此如果你在用户登录成功后,才将用户加入到某个组,则该访问令牌内并没有包含这个组的SID,因此用户也不会有该组所拥有的权限,此时用户必须注销再重新登陆,以便重新建立一个拥有这个组SID的访问令牌。,用户Jack访问Se
3、rverATools时,验证身份流程图,L,Tools,信任,全局编录,用户 Jack,工作站A,Server A,DC 3,DC2,DC1,BJ,,8.1.3 信任的种类,“父子” 信任,同一个域树中,父域与子域之间的信任关系称为父子信任,这个信任关系是自动建立,也就说任何一个Windows 2003或Windows 2000域被加入到域树后,这个域会自动信任其前一层的父域,同时父域也会自动地信任这个新域,而且这些信任关系具备“双向传递性”。,“树-根目录”信任,同一个林中,林根域与其他域树根域之间的信任关系被称为树-根目录信任。 这个信任关系也是自动建立的,也就是说当你在现有的林中添加一个
4、域树后,“林根域”与新的“域树根域”之间会自动相互信任对方,而且这些信任关系具备“双向传递性”。,“快捷方式”信任,快捷方式信任可以缩短验证用户身份的时间。快捷方式信任可以根据实际情况决定是单向或双向的。,“林”信任,两个Windows Server 2003林之间,可以通过林信任来建立信任关系,以便让不同林内的用户能够相互访问对方内的资源。可以自行决定建立单向或双向的信任关系。若两个林之间建立了双向的信任关系,由于林信任具备“双向传递性”,因此会让两个林中的所有域之间都相互的信任,也就是说所有域内的用户都可以访问其他于内的资源。但是两个林之间的信任不会自动延伸到第3个林中。,“外部”信任,W
5、indows Server 2003域可以通过外部信任来与Windows NT 4.0域建立起信任关系,另外分别位于两个林内的域之间,也可以通过外部信任来建立信任关系。可以决定建立单向或双向的信任关系。由于外部信任并不具备“传递性”,因此和其他域之间并不具备信任关系。,“领域”信任,Windows Server 2003域可以与“非Windows系统”的Kerberos V5领域之间建立信任关系,这个信任关系成为领域信任。这种跨平台的信任关系,让Windows Server 2003域能够与使用其他版本的Kerberos V5的系统(如UNIX)相互沟通。领域信任可以使单向或双向的,而且可以在
6、“传递性”与“非传递性”之间切换。,8.2 建立信任,前面介绍的6种信任关系中,父-子信任是在添加子域时自动建立的,树-根目录信任是在添加域树时自动建立的,其他的四种信任关系必须手动建立。,8.2.1 建立信任前的注意事项,建立信任就是在建立两个不同域之间的沟通桥梁,从域管理的角度来看,两个域个需要一个拥有适当权限的人,在各自域中分别做一些设置,以建立两个域之间的信任关系。 建立单向域“A域信任B域”时,必须在A域建立一个传出信任,相对的也必须在B域建立一个传入信任。 “A域信任B域,同时B域也信任A域”的双向信任来说,必须在A域建立传出信任与传入信任,其中的传出信任是用来信任B域,而传入信任
7、是要让B域可以来信任A域。 两个域在建立信任关系时,相互间可以利用DNS名称或NetBIOS名称来制定对方的名称。 除了利用“新建信任向导”来建立域或林之间的信任外,也可以利用netdom trust命令来添加、删除或管理信任关系。Netdom程序在Windows Server 2003 CD的SUPPORTTOOLSSUPTOOLS.MSI内,请先运行此程序。,8.2.2 建立快捷方式信任,以建立单向快捷方式信任来说明。必须在A域建立一个传出信任,相对的也必须在B域建立一个传入信任。,8.2.3 建立林信任,建立林信任之前,必须先确定两件事: 两个林之间是否可以通过DNS服务器来找到另一方的林根域的域控制器。 确定两个林的“林功能级别”都已升级为“Windows Server 2003”,8.3 管理与删除信任,8.3.1 信任的管理 欲改变信任的设置可以通过选取欲管理的信任“属性”来确认信任、改变名称后缀路由设置或改变验证设置。 8.3.2 信任的删除 可以将“快捷方式信任”、“林信任”、“外部信任”、“领域信任”等自行建立的信任删除,但系统自动建立的“父子信任”与“树根项目录信任”不可以删除。,
