域信任关系实验
电话:021-64519261 021-64519262传真:021-64519261网址:w ww. yan gba ng. cn地址:龙吴路51号1号楼6楼域信任关系基本概念一.什么是信任, 为什
电话:021-64519261 021-64519262
传真:021-64519261
网址:w ww. yan gba ng. cn
地址:龙吴路51号1号楼6楼
域信任关系
基本概念
一.什么是信任, 为什么要在域之间建立信任关系?
域是安全边界,若无信任关系,域用户帐户只能在本域内使用。信任关系在两个域之间架起了一座桥梁,使得域用户帐户可以跨域使用。确切地说就是:信任关系使一个域地DC 可以验证其他域的用户,这种身份验证需要信任路径。例如:A 域与B 域没有信任关系,A 域上的员工使用自己在A 域的帐户,将不能访问B 域上的资源。
二.信任的类型:
1.默认信任
默认信任是系统自动建立的信任关系,不需要我们通过配置建立信任。默认信任有以下几种:
(1) 父子信任:在森林中,父子域之间存在的信任关系,称为父子信任,在默认情况下,
当现有域树中添加新的子域时,将自动建立父子信任关系。这种信任是双向的可传递的信任关系。
(2) 域间信任关系:在森林中两棵树之间存在的信任关系,称为域间信任关系,在一个
森林中建立第二棵树的时候将自动创建一新的树根信任关系。这个信任是双向的可传递的。
2.其他信任
以下几种信任关系不是系统自动创建的,需要我们手动创建,把它们归为“其他信任”。
(1) 快捷信任:在同一个森里的两棵树中的两个子树,默认的信任关系是通过信任关系
的传递完成的信任,例如,sales.yb.com 信任yb.com,yb.com 信任support.yb.com, 则sales.yb.com 信任support.yb.com ,但是这个信任是的路径很长,在访问的时候,造成网络流量的增加和访问速度的变慢,访问效率低下。我们可以建立sales.yb.com 和support.yb.com 之间的快捷信任,来提高访问效率。
注意:快捷信任是构建在同一个森林的信任关系下的。这种信任是双向或单向的,可传递的信任关系。
(2) 外部信任:构建在两个不同的森林或者两个不同的域(一个是windows2000域,一
个是windows2003域)之间的信任关系。这种信任是双向或单向的,不可传递的信任关系。
(3) 森林信任:如果在windows server 2003功能级别,可以在两个森林之间创建一个森
林信任关系。这个信任是单向或双向的,可传递的信任关系。
注意:森林信任只能在两个林的根域上建立。
三.信任的方向
所有信任关系中只能有两个域:信任域和受信任域。
有一个信任关系:A 域信任B 域,其中A 域是信任域,B 域是受信任域,这个信任关系指明B 域是受A 域信任的域,即B 域的用户帐户可以访问A 域的资源(在拥有相应权限的前提下)。从这里我们可以看出,信任关系具有方向性,这个信任关系是单向信任,B 域的用户可以访问A 域的资源,但A 域的用户还不能访问B 域的资源。
还有一种信任关系:A 域和B 域之间的双向信任(A 域信任B 域,且B 域信任A 域),在这种信任关系下,A 域和B 域的用户帐户都能访问对方域的资源,因为这两个域都得到 1
,
电话:021-64519261 021-64519262
传真:021-64519261
网址:w ww. yan gba ng. cn
地址:龙吴路51号1号楼6楼
了对方域的信任。
四.信任的传递性
信任根据它的传递性可以分为可传递的和不可传递的。
如果A 域和B 域之间的信任是可传递的,B 域和C 域之间的信任也是可传递的,那么A 域和C 域之间就自动创建了信任关系。
如果A 域和B 域之间的信任是不可传递的, 或者B 域和C 域之间的信任是不可传递的,那么A 域和C 域之间不会自动创建了信任关系。
实验
环境:ms.com 和cisco.com 两个域分别是两个森林的根域,它们不能自动建立信任关系,所以为了能使它们的用户能访问对方域,我们需要手动建立信任关系。
准备工作:1 建立两个域,ms.com 和cisco.com (实验中的域名使用自己的域名,避免冲突)
2 DNS 解析正确。
实验步骤:
第一步: 在ms.com 的域控制器上,打开“Active Directory 域和信任关系”管理器,右击”ms.com ”,点击“属性”。
2
,
电话:021-64519261 021-64519262
传真:021-64519261
网址:w ww. yan gba ng. cn
地址:龙吴路51号1号楼6楼
第二步:在ms.com 属性对话框中选择“信任”标签页,点击“新建信任”按钮。进入“新建信任向导”。
第三步:在“名称”下输入你要与之建立信任关系的域的名称。按“下一步”
3
,
电话:021-64519261 021-64519262
传真:021-64519261
网址:w ww. yan gba ng. cn
地址:龙吴路51号1号楼6楼
第四步:选择你需要建立的信任的方向性,这里可以选择“双向”。按“下一步”。
第五步:输入对方域的管理员用户和密码。按下一步。
4
,
电话:021-64519261 021-64519262
传真:021-64519261
网址:w ww. yan gba ng. cn
地址:龙吴路51号1号楼6楼
第六步:选择身份验证的范围,一般可以选“全域性身份验证”。按下一步。
5
,
电话:021-64519261 021-64519262
传真:021-64519261
网址:w ww. yan gba ng. cn
地址:龙吴路51号1号楼6楼
第七步:确认要建立的信任,按下一步。
第八步:系统提示成功创建信任关系,按下一步。
6
,
电话:021-64519261 021-64519262
传真:021-64519261
网址:w ww. yan gba ng. cn
地址:龙吴路51号1号楼6楼
第九步:确认在对方域建立信任关系,选择“是”,按下一步。
第十步:确认在对方域建立信任关系,选择“是”,按下一步。
7
,
电话:021-64519261 021-64519262 传真:021-64519261
网址:w ww. yan gba ng. cn
地址:龙吴路51号1号楼6楼
第十一步:完成向导。
8