酷米网(kmw.com),专注高端域名快速交易!

  1. 当前位置: 
  2. 首页 > 
  3. 域名资讯  > AD活动目录域信任关系图解
服务器时间:2018-07-18 01:37:33 (CST +08:00)

AD活动目录域信任关系图解

2017-12-17 16:44:39     浏览量: 28

AD 活动目录域信任关系图解

有时候要给学员们讲解AD 活动目录域信任关系,所以特地写了这篇文章来说明信任是在域之间建立的关系。AD 活动目录域信任关系就是可以使一个域中的用户由其他域中域控制器进行身份验证。

一个林中的域之间的所有 Active Directory 信任都是双向的、可传递的信任。如下图所示:域 A 信任域 B,且域 B 信任域 C,则域 C 中的用户可以访问域 A 中的资源(如果这些用户被分配了适当的权限). 只有 Domain Admins 组中的成员才能管理信任关系.

信任协议

域控制器使用两种协议之一对用户和应用程序进行身份验证:Kerberos version 5 (V5) 协议或 NTLM。Kerberos V5 协议

是 Active Directory 域中的计算机的默认协议。如果事务中的任何计算机都不支持 Kerberos V5 协议,则使用 NTLM 协议

.

,

信任方向

单向信任: 单向信任是在两个域之间创建的单向身份验证路径。这表示在域 A 和域 B 之间的单向信任中,域 A 中的用户可以访问域 B 中的资源。但是域 B 中的用户无法访问域 A 中的资源。单向信任可以是不可传递信任,也可以是可传递信任,这取决于创建的信任类型。

双向信任: Active Directory 林中的所有域信任都是双向的、可传递的信任。创建新的子域时,系统将在新的子域和父域之间自动创建双向可传递信任。在双向信任中,域 A 信任域 B,并且域 B 信任域 A。这表示可以在两个域之间双向传递身份验证请求。双向关系可以是不可传递的,也可以是可传递的,这取决于所创建的信任类型。

信任类型

包括外部信任(不可传递) 、快捷方式信任(可传递) 、领域信任(可传递或不可传递)、林信任(可传递) 。

下面以实例讲解配置两个域之间的信任关系。

域A:

域B

要求 域A <—> 域B 两个域相互信任,部分用户资源互访。 配置双向信任关系 :

,

登录两台DC 中的任一台,这里以登录域A 的DC 为例:

开始->运行 输入 domain.msc,打开活动目录域和信任关系控制台: 定位到域名部分,右击”属性”, 切换到”信任选项卡”:

,

【新建信任】,弹出新建信任向导:

可以看到,信任关系有如下几种类型,本域和同林或者异林中的域、本域和NT4.0域、本域和kerberos V5领域、本域和另一个林。

,

信任名称:这里指键入要建立信任关系的域、林或者领域的名称

信任类型:外部信任和林信任。

,

这里选择林信任,林信任使得另一个林中的各个域中的用户都可以在本林中可用域控制器汇总得到身份验证。相对外部信任而言,林信任放开的范围很大,两个林之间。

双向: 域A <—->域B 相互信任,可以互访。

单向(内传): 域A <—- 域B ,域B 为信任域,域A 为受信域,A 可访问B ,B 不能访问A 。

单向(外传): 域A —->域B ,域A 为信任域,域B 为受信域,B 可访问A ,A 不可访问B 。

,

信任方: 选择”此域和指定的域”

要创建域信任关系,至少是domain admins组的权限;

,

这里输入在要建立信任关系的对方域或者林中有权限的凭证

,

新建的信任摘要,可按【上一步】进行更改,检查无误,直接【下一步】

,

上一篇  网站建设方案书

下一篇  shell常用命令