8、域信任关系
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows Server 2003域可以与“非 Windows系统”的Kerberos V5领域之间建 立信任关系,这个信任关系成为领域信任。 这种跨平台的信任关系,让Windows Server 2003域能够与使用其他版本的 Kerberos V5的系统(如UNIX)相互沟通。 领域信任可以使单向或双向的,而且可以 在“传递性”与“非传递性”之间切换。
“林”信任
两个Windows Server 2003林之间,可以通过 林信任来建立信任关系,以便让不同林内的用户 能够相互访问对方内的资源。可以自行决定建立 单向或双向的信任关系。若两个林之间建立了双 向的信任关系,由于林信任具备“双向传递性”, 因此会让两个林中的所有域之间都相互的信任, 也就是说所有域内的用户都可以访问其他于内的 资源。但是两个林之间的信任不会自动延伸到第3 个林中。
8.3 管理与删除信任
8.3.1 信任的管理
欲改变信任的设置可以通过选取欲管理的信任—“属 性”来确认信任、改变名称后缀路由设置或改变验证设置。
8.3.2 信任的删除
可以将“快捷方式信任”、“林信任”、“外部信 任”、“领域信任”等自行建立的信任删除,但系统自动 建立的“父子信任”与“树根项目录信任”不可以删除。
“外部”信任
Windows Server 2003域可以通过外部 信任来与Windows NT 4.0域建立起信任关 系,另外分别位于两个林内的域之间,也 可以通过外部信任来建立信任关系。可以 决定建立单向或双向的信任关系。由于外 部信任并不具备“传递性”,因此和其他 域之间并不具备信任关系。
“领域”信任
信任
DC2
全局编录 DC1 DC 3
用户 Jack
Toolsຫໍສະໝຸດ 工作站AServer A
8.1.3 信任的种类
信任类型名称
父子(Parent-Child) 树根目录(Tree-Root)
传递性
是 是
单向或双向
双向 双向
快捷方式(Shortcut)
域信任关系
主讲:丁文
本讲主要内容:
• 域信任基本概念 • 建立信任 • 管理和删除信任
8.1 域信任基本概念
“信任”是两个域之间沟通的桥梁,两 个域相互信任之后,双方的用户便可以访 问对方域内的资源、利用对方域的计算机 登录。
8.1.1 信任域与被信任域
当A域“信任”B域后:
• A域被称为“信任域”,而B域被称为“被信任域” • B域的用户只要具备适当的权限,就可以访问A域的资源,如文件、打
林(Forest) 外部(External) 领域(Realm)
是
否 否 是或否
单向或双向
单向或双向 单向或双向 单向或双向
“父子” 信任
同一个域树中,父域与子域之间的信任 关系称为父子信任,这个信任关系是自动 建立,也就说任何一个Windows 2003或 Windows 2000域被加入到域树后,这个域 会自动信任其前一层的父域,同时父域也 会自动地信任这个新域,而且这些信任关 系具备“双向传递性”。
“树-根目录”信任
同一个林中,林根域与其他域树根域之 间的信任关系被称为树-根目录信任。 这个信任关系也是自动建立的,也就是 说当你在现有的林中添加一个域树后, “林根域”与新的“域树根域”之间会自 动相互信任对方,而且这些信任关系具备 “双向传递性”。
“快捷方式”信任
快捷方式信任可以缩短验证用户身份的 时间。快捷方式信任可以根据实际情况决 定是单向或双向的。
8.2 建立信任
前面介绍的6种信任关系中,父-子信任 是在添加子域时自动建立的,树-根目录信 任是在添加域树时自动建立的,其他的四 种信任关系必须手动建立。
8.2.1 建立信任前的注意事项
• 建立信任就是在建立两个不同域之间的沟通桥梁,从域管理的角度来
•
看,两个域个需要一个拥有适当权限的人,在各自域中分别做一些设 置,以建立两个域之间的信任关系。 建立单向域“A域信任B域”时,必须在A域建立一个传出信任,相对 的也必须在B域建立一个传入信任。 “A域信任B域,同时B域也信任A域”的双向信任来说,必须在A域建 立传出信任与传入信任,其中的传出信任是用来信任B域,而传入信 任是要让B域可以来信任A域。 两个域在建立信任关系时,相互间可以利用DNS名称或NetBIOS名称 来制定对方的名称。 除了利用“新建信任向导”来建立域或林之间的信任外,也可以利用 netdom trust命令来添加、删除或管理信任关系。Netdom程序在 Windows Server 2003 CD的\SUPPORT\TOOLS\SUPTOOLS.MSI内, 请先运行此程序。
•
•
•
8.2.2 建立快捷方式信任
以建立单向快捷方式信任来说明。必须 在A域建立一个传出信任,相对的也必须在 B域建立一个传入信任。
8.2.3 建立林信任
建立林信任之前,必须先确定两件事: • 两个林之间是否可以通过DNS服务器来找到 另一方的林根域的域控制器。 • 确定两个林的“林功能级别”都已升级为 “Windows Server 2003”
注意:
由于访问令牌是在登陆(本地登陆或网 络登陆)时建立的,因此如果你在用户登 录成功后,才将用户加入到某个组,则该 访问令牌内并没有包含这个组的SID,因此 用户也不会有该组所拥有的权限,此时用 户必须注销再重新登陆,以便重新建立一 个拥有这个组SID的访问令牌。
用户Jack访问\\ServerA\Tools时,验证身份流程图
印机等,因此A域又被称为“资源域”,而B域被称为“账户域” • B域的用户可以到A域内的计算机上登录
信任 域
A 域
信任
B 域
被信 任域
服务器
工作站
8.1.2 跨域访问资源的流程
用户在登陆的时候,系统必须验证用户的身份, 而在验证身份的过程中,除了必须确认用户账户 名称与密码无误外,系统还会替用户建立一个 “access token”,这个访问令牌内包含着该用户 账户的SID、用户所隶属的所有组的SID等数据。 用户取得这个访问本地计算机内的资源时,出示 访问令牌,而系统会根据访问令牌内的SID数据, 来决定用户拥有何种权限来访问这个资源。