3.森林及其信任关系
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
单向/双向
WINDOWS2003之间林的信任
改善Win2003林内的两个域之间的用 户登录时间
Windows 2003中的传递信任关系
在创建新域的时候,在 目录林根域和新域目录 树之间将自动创建信任 关系。
树二
树根信任
林根域 树一
Domain 1
目录林
父子信任 域A
是在目录树上创建 新域的时候创建的。
实例说明
跨域访问资源的流程
George是子域sales.abc.com的用户,而ServerA 位于另外一个子域mkt.abc.com内,当George要访 问共享文件夹\\ServerA\tools时,George的计算 机必须先取得一个用来与ServerA沟通的“服务 票据”. George的计算机取得“服务票据”并与 ServerA沟通成功后,ServerA会发一个访问令牌 给George,以便其访问.过程如下:
实例:为两个域建立一个双向的林信任,即为两个 域建立传出信任与传入信任.
用林根域的Domain Admins或Enterprise Admins组 内的用户登录 AD域和信任关系--域属性--信任标签--新建信任
建立林信任
建立林信任
建立林信任
建立林信任
建立林信任
建立林信任
建立林信任
建立信任操作
建立单向信任:
如果是分别单独建立这两个信任,需要在一个域的传 出信任与另一个域的传入信任设置相同的信任密码. 如果是同时建立这两个信任,在信任过程中不需要输 入信任密码,但必须在这两个域都有Domain Admins或Enterprise Admins组的成员权限.
建立双向信任:
“父-子”信任:被加入到域后,自动信任其前一层 的父域,同时父域也自动地信任这个新域,具备 “双向传递性(two-way transitive)”. “树-根目录”信任:同一个林中,林根域与其他域 树根域之间的信任,也是自动建立且具备“双向传 递性(two-way transitive)”.
“快捷方式”信任
“快捷方式”信任:可以缩短验证用户身份的时间.wenku.baidu.com自行决定建立单向“快捷方式”信任或双向:
“林”信任
“林”信任:两个林之间可以通过林信任来建立 信任关系,以便让不同林内用户能互相访问对方 内的资源.可自行决定建立单向或双向. 两个林之间的林信任,不会自动延伸到第3个林: 林A与林B建立了林信任,同时也在林B与林C之 间建立了林信任,但是林A与林C之间并不会自 动信任.
什么是目录树? 什么是目录林? 什么是目录林根域? 多层域的特征。
什么是目录林根域?
目录林根域: 在林中第一个建立的域
目录林根域 全局目录
目录林
目录树根域 配置和架构
nwtraders.msft
目录树
企业Enterprise Admins contoso.msft 架构Schema Admins
跨域访问资源的流程
当用户在某台计算机登录时,系统必须验证用户的身份, 除了确认账户名和密码无误外,系统还会替用户建立一个 “access token(访问令牌)”,这个令牌内包含该用户 账户的SID、用户所隶属的所有组的SID等数据。 用户取得这个访问令牌后,在他要访问本地计算机内的资 源时,出示访问令牌,而系统会根据访问令牌内的SID, 来决定用户拥有何种权限来访问资源。 当用户要访问网络上其他计算机的资源时,拥有资源的这 台计算机也会替用户建立一个访问令牌,当用户要访问资 源时,便会出示令牌,而该台计算机会根据令牌内的SID, 来决定用户拥有何种权限来访问这个资源。
跨域访问资源的流程
4.
5.
6.
域控制器DC1得知后,会根据信任路径,通知工作站 A向“信任域”abc.com的域控制器查询. 工作站A向abc.com的域控制器DC2查询 mkt.abc.com的域控制器,DC2通知工作站A去找域 控制器DC3. 工作站A向DC3索取一个能够与ServerA沟通的服务 票据.取得服务票据后,它会将服务票据传送给 ServerA, ServerA读取服务票据内的用户身份后, 会根据这些数据建立访问令牌,然后传给用户.
域信任关系 默认建立 可传递 双向
父子信任
域B
域C
信任如何工作
使用信任协议确定是否有信任关系
跟踪信任路径,并选最短
林根域
域1 树根域 目录林 User
树一
域A 树二 域C
域2
信任域
被信任域
域B
信任域
2.建立信任操作
建立信任前注意事项:
建立信任就是在两个不同域之间建立沟通桥梁, 从域管理的角度分析,两个基本点域各需要一个 拥有适当权限的人,在各自域中做一些设置,以建 立两个域之间的信任。 信任域一方的系统管理员,需要为此信任关系建 立一个”传出信任”;被信任域一方则需要建立 一个”传入信任”。
验证信任
AD域和信任关系—域—属性—信任 相应域—编辑—验证
删除信任(系统自动建立的“父子信任”和 “树根信任”不能删除):
AD域和信任关系—域—属性—信任 相应域—删除
本课总结
域树是具有连续的命名空间,域林是不具有连续 的命名空间。 Win 2003域信任可实现可传递信任、双向信任。 Win 2003域信任包含“父-子”、“树-根” 、 外部、领域、林、快捷信任 创建外部、领域、林、快捷信任的方法
建立林信任
建立林信任
建立与Win NT 4.0域的外部信任关系
目录林
contoso.msft
外部信任
单向、非传递 信任关系 域
marketing.contoso.msft
sales.contoso.msft
Win NT 4.0域
具体操作
任务四 管理与删除信任
注:当用户要访问另外一个域内的资源时,系统会 根据信任路径,依序跟每一个域内的域控制器沟通后才 能取得访问令牌,并一句访问令牌内的SID数据,来决定 用户拥有何种权限.
1.信任的种类
前两种是在利用“AD安装向导”添加域时,由 系统自动建立的,后四种必须自行手动建立.
“父-子”和“树-根”信任
Win2003 Server信任关系
信任类型 父子 树根 外部 领域 传递性
可传递 可传递 不可传递 可传递/ 不可传递
方向
双向 双向 单向/双向 单向/双向 父域与子域
简单描述
新的树根与林根 Win NT与Win2003 非Kerberos领域与Win2003域的信任 关系
林
快捷
可传递
可传递
单向/双向
林根域
树一
快捷信任
域2 信任域
域B 被信任域
域C
信任域
快捷方式信任
快捷方式信任
快捷方式信任
快捷方式信任
快捷方式信任
建立林信任
前提:确定两个林的”林功能级别”都已经升级 为”Windows Server 2003”模式
注:将一个林的“林功能级别”升级为“Windows Server 2003”之前,必须先将林中所有域的“域功能级别”升级为 “Windows 2000原始模式”或“Windows Server 2003”
作业
1. 2.
书面题:
简述域树和树林的概念及相互之间的关系。 在目录林中创建新目录树的时候,目录林根域会产 生什么变化? 为什么要创建快捷方式信任?
3.
1.
实验题:
在已有的结构中加入新子域。 检查父域和子域之间的信任关系。
2.
跨域访问资源的流程
1.
2. 3.
George利用域内的用户账户登录,当用户在工作站A 登录时,由DC1来负责验证用户账户和密码,同时发 放一个 “TGT(索票凭证)”给George,以便让其利 用TGT来获得一个用来与ServerA沟通的服务票据. (注:TGT视为“通行证”,用户必须拥有TGT后,才 可以索取服务票据) 工作站A会向所属域内DC1索取一个用来与服务器 ServerA沟通的服务票据. 域控制器DC1发现ServerA并不在它的域内,就转向 “全局编录”,询问ServerA是位于哪一个域 内.“全局编录”告知DC1服务器ServerA是位于子 域mkt.abc.com的.
第三课 森林及其信任关系
课程内容
域树、林基础 域树、林的各种信任 管理和删除各种信任
重、难点分析
重点:
域树、林的创建 域树、林各种信任关系
难点:
各种信任关系的区别 管理和删除信任关系
任务一 域树域林基础
域目录树和目录林具有同时使用连续的和 非连续命名惯例的灵活性。
目录树
marketing.nwtraders.msft
sales.contoso.msft
任务二 信任关系
信任关系意味着,目录树中的各个域环境之间可 以互相共享网络资源,可以实现用户身份的跨域 验证,可以使一个域的域控制器能够验证其它域 的用户。 信任关系的可传递特性表明了对某个域的信任关 系会自动传递到其他的信任这个域的域环境中。 可以形象地比喻成为:儿子信任爸爸,爸爸信任 爷爷,如果都是双向可传递式信任关系,则可以 说:儿子信任爷爷,爷爷信任儿子。
可以分别单独建立信任域和被信任域的传出信任、 传入信任,需要在两域设置相同信任密码 若同时建立两域的传出信任、传入信任,不需密码, 但必须在两个域都拥有Domain Admins或 Enterprise Admins组的成员权限.
快捷方式信任
建立域间直接连接,缩短信任路径 单向传递,用建二个来实现双向 域1 树根域 树二 域A 目录林
“外部”信任
Windows Server 2003域可以通过外部信 任来与Windows NT 4.0域建立信任关系, 分别位于两个林内的域之间也可以通过外部 信任来建立信任关系. 外部信任不具备”传递性”
“领域”信任
Windows Server 2003域可以与”非 Windows系统”之间建立信任关系,称为领域信 任,这种跨平台的信任关系让Windows Server 2003域能够与使用其他版本的Kerberos V5的 系统(例UNIX)相互沟通. 可以是单向或双向,也可以在”传递性”与”非传 递性”之间切换.
WINDOWS2003之间林的信任
改善Win2003林内的两个域之间的用 户登录时间
Windows 2003中的传递信任关系
在创建新域的时候,在 目录林根域和新域目录 树之间将自动创建信任 关系。
树二
树根信任
林根域 树一
Domain 1
目录林
父子信任 域A
是在目录树上创建 新域的时候创建的。
实例说明
跨域访问资源的流程
George是子域sales.abc.com的用户,而ServerA 位于另外一个子域mkt.abc.com内,当George要访 问共享文件夹\\ServerA\tools时,George的计算 机必须先取得一个用来与ServerA沟通的“服务 票据”. George的计算机取得“服务票据”并与 ServerA沟通成功后,ServerA会发一个访问令牌 给George,以便其访问.过程如下:
实例:为两个域建立一个双向的林信任,即为两个 域建立传出信任与传入信任.
用林根域的Domain Admins或Enterprise Admins组 内的用户登录 AD域和信任关系--域属性--信任标签--新建信任
建立林信任
建立林信任
建立林信任
建立林信任
建立林信任
建立林信任
建立林信任
建立信任操作
建立单向信任:
如果是分别单独建立这两个信任,需要在一个域的传 出信任与另一个域的传入信任设置相同的信任密码. 如果是同时建立这两个信任,在信任过程中不需要输 入信任密码,但必须在这两个域都有Domain Admins或Enterprise Admins组的成员权限.
建立双向信任:
“父-子”信任:被加入到域后,自动信任其前一层 的父域,同时父域也自动地信任这个新域,具备 “双向传递性(two-way transitive)”. “树-根目录”信任:同一个林中,林根域与其他域 树根域之间的信任,也是自动建立且具备“双向传 递性(two-way transitive)”.
“快捷方式”信任
“快捷方式”信任:可以缩短验证用户身份的时间.wenku.baidu.com自行决定建立单向“快捷方式”信任或双向:
“林”信任
“林”信任:两个林之间可以通过林信任来建立 信任关系,以便让不同林内用户能互相访问对方 内的资源.可自行决定建立单向或双向. 两个林之间的林信任,不会自动延伸到第3个林: 林A与林B建立了林信任,同时也在林B与林C之 间建立了林信任,但是林A与林C之间并不会自 动信任.
什么是目录树? 什么是目录林? 什么是目录林根域? 多层域的特征。
什么是目录林根域?
目录林根域: 在林中第一个建立的域
目录林根域 全局目录
目录林
目录树根域 配置和架构
nwtraders.msft
目录树
企业Enterprise Admins contoso.msft 架构Schema Admins
跨域访问资源的流程
当用户在某台计算机登录时,系统必须验证用户的身份, 除了确认账户名和密码无误外,系统还会替用户建立一个 “access token(访问令牌)”,这个令牌内包含该用户 账户的SID、用户所隶属的所有组的SID等数据。 用户取得这个访问令牌后,在他要访问本地计算机内的资 源时,出示访问令牌,而系统会根据访问令牌内的SID, 来决定用户拥有何种权限来访问资源。 当用户要访问网络上其他计算机的资源时,拥有资源的这 台计算机也会替用户建立一个访问令牌,当用户要访问资 源时,便会出示令牌,而该台计算机会根据令牌内的SID, 来决定用户拥有何种权限来访问这个资源。
跨域访问资源的流程
4.
5.
6.
域控制器DC1得知后,会根据信任路径,通知工作站 A向“信任域”abc.com的域控制器查询. 工作站A向abc.com的域控制器DC2查询 mkt.abc.com的域控制器,DC2通知工作站A去找域 控制器DC3. 工作站A向DC3索取一个能够与ServerA沟通的服务 票据.取得服务票据后,它会将服务票据传送给 ServerA, ServerA读取服务票据内的用户身份后, 会根据这些数据建立访问令牌,然后传给用户.
域信任关系 默认建立 可传递 双向
父子信任
域B
域C
信任如何工作
使用信任协议确定是否有信任关系
跟踪信任路径,并选最短
林根域
域1 树根域 目录林 User
树一
域A 树二 域C
域2
信任域
被信任域
域B
信任域
2.建立信任操作
建立信任前注意事项:
建立信任就是在两个不同域之间建立沟通桥梁, 从域管理的角度分析,两个基本点域各需要一个 拥有适当权限的人,在各自域中做一些设置,以建 立两个域之间的信任。 信任域一方的系统管理员,需要为此信任关系建 立一个”传出信任”;被信任域一方则需要建立 一个”传入信任”。
验证信任
AD域和信任关系—域—属性—信任 相应域—编辑—验证
删除信任(系统自动建立的“父子信任”和 “树根信任”不能删除):
AD域和信任关系—域—属性—信任 相应域—删除
本课总结
域树是具有连续的命名空间,域林是不具有连续 的命名空间。 Win 2003域信任可实现可传递信任、双向信任。 Win 2003域信任包含“父-子”、“树-根” 、 外部、领域、林、快捷信任 创建外部、领域、林、快捷信任的方法
建立林信任
建立林信任
建立与Win NT 4.0域的外部信任关系
目录林
contoso.msft
外部信任
单向、非传递 信任关系 域
marketing.contoso.msft
sales.contoso.msft
Win NT 4.0域
具体操作
任务四 管理与删除信任
注:当用户要访问另外一个域内的资源时,系统会 根据信任路径,依序跟每一个域内的域控制器沟通后才 能取得访问令牌,并一句访问令牌内的SID数据,来决定 用户拥有何种权限.
1.信任的种类
前两种是在利用“AD安装向导”添加域时,由 系统自动建立的,后四种必须自行手动建立.
“父-子”和“树-根”信任
Win2003 Server信任关系
信任类型 父子 树根 外部 领域 传递性
可传递 可传递 不可传递 可传递/ 不可传递
方向
双向 双向 单向/双向 单向/双向 父域与子域
简单描述
新的树根与林根 Win NT与Win2003 非Kerberos领域与Win2003域的信任 关系
林
快捷
可传递
可传递
单向/双向
林根域
树一
快捷信任
域2 信任域
域B 被信任域
域C
信任域
快捷方式信任
快捷方式信任
快捷方式信任
快捷方式信任
快捷方式信任
建立林信任
前提:确定两个林的”林功能级别”都已经升级 为”Windows Server 2003”模式
注:将一个林的“林功能级别”升级为“Windows Server 2003”之前,必须先将林中所有域的“域功能级别”升级为 “Windows 2000原始模式”或“Windows Server 2003”
作业
1. 2.
书面题:
简述域树和树林的概念及相互之间的关系。 在目录林中创建新目录树的时候,目录林根域会产 生什么变化? 为什么要创建快捷方式信任?
3.
1.
实验题:
在已有的结构中加入新子域。 检查父域和子域之间的信任关系。
2.
跨域访问资源的流程
1.
2. 3.
George利用域内的用户账户登录,当用户在工作站A 登录时,由DC1来负责验证用户账户和密码,同时发 放一个 “TGT(索票凭证)”给George,以便让其利 用TGT来获得一个用来与ServerA沟通的服务票据. (注:TGT视为“通行证”,用户必须拥有TGT后,才 可以索取服务票据) 工作站A会向所属域内DC1索取一个用来与服务器 ServerA沟通的服务票据. 域控制器DC1发现ServerA并不在它的域内,就转向 “全局编录”,询问ServerA是位于哪一个域 内.“全局编录”告知DC1服务器ServerA是位于子 域mkt.abc.com的.
第三课 森林及其信任关系
课程内容
域树、林基础 域树、林的各种信任 管理和删除各种信任
重、难点分析
重点:
域树、林的创建 域树、林各种信任关系
难点:
各种信任关系的区别 管理和删除信任关系
任务一 域树域林基础
域目录树和目录林具有同时使用连续的和 非连续命名惯例的灵活性。
目录树
marketing.nwtraders.msft
sales.contoso.msft
任务二 信任关系
信任关系意味着,目录树中的各个域环境之间可 以互相共享网络资源,可以实现用户身份的跨域 验证,可以使一个域的域控制器能够验证其它域 的用户。 信任关系的可传递特性表明了对某个域的信任关 系会自动传递到其他的信任这个域的域环境中。 可以形象地比喻成为:儿子信任爸爸,爸爸信任 爷爷,如果都是双向可传递式信任关系,则可以 说:儿子信任爷爷,爷爷信任儿子。
可以分别单独建立信任域和被信任域的传出信任、 传入信任,需要在两域设置相同信任密码 若同时建立两域的传出信任、传入信任,不需密码, 但必须在两个域都拥有Domain Admins或 Enterprise Admins组的成员权限.
快捷方式信任
建立域间直接连接,缩短信任路径 单向传递,用建二个来实现双向 域1 树根域 树二 域A 目录林
“外部”信任
Windows Server 2003域可以通过外部信 任来与Windows NT 4.0域建立信任关系, 分别位于两个林内的域之间也可以通过外部 信任来建立信任关系. 外部信任不具备”传递性”
“领域”信任
Windows Server 2003域可以与”非 Windows系统”之间建立信任关系,称为领域信 任,这种跨平台的信任关系让Windows Server 2003域能够与使用其他版本的Kerberos V5的 系统(例UNIX)相互沟通. 可以是单向或双向,也可以在”传递性”与”非传 递性”之间切换.