配置 Active Directory 对象和信任

1、配置 Active Directory 对象和信任一、信任关系基础知识1、信任关系有什么用？域是安全边界，若无信任关系，域用户帐户只能在本域内使用。信任关系在两个域之间架起了一座桥梁，使得域用户帐号可以跨域使用。确切地说就是：信任关系使一个域的DC 可以验证其它域的用户，这种身份验证需要信任路径。2、A 域与B 域没有信任关系，A 域的用户将不能访问B 域上的资源常见的错误理解：A 域与B 域没有信任关系，A 域上的员工（注意：我没有使用“用户”这个词）将不能访问B 域上资源。实际上当然是可以访问的，但你必须在双方域控上建立域用户帐号、口令才行（类似于我们访问工作组上的资源，必须提供目标计算机

2、上的用户帐号、口令才行），提供本域的任何帐号都不好使。所以这句常见于各种教材的话，应该这样理解：“A域与B 域没有信任关系，A 域上的员工使用自己在A 域的用户帐号，将不能访问B 域上的资源”。3、A 域信任B 域，信任关系方向表示为：A >B。这使得B 域的员工使用自己在B 域的用户帐号可以直接访问A 域上的资源（B 域的用户帐号必须具有访问所需的权限），而不会弹出身份验证对话框。访问方向表示为：A<B ，我们需要记住的要点：访问方向与信任方向相反。 注意：可传递的林信任只有在windows server 2003 以后的版本才可以支持，因此在创建可传递林信任时必须先将域级别提升

3、至windows server 2003 域功能级别。1. 信任方向：有单向和双向两种a. 单向分为内传和外传两种i. 内传指指定域信任本地域:在上图中如果在B 域上实现，就得做单向内传（中箭了）ii. 外传指本地域信任指定域:在上图中如果在A 域上实现，就得做单向外传（箭头朝外）b. 双向：指两个域相互信任，就像两个好朋友。2. 2003信任的种类：父子信任：可传递、双向。自动建立，不可删除。树根信任：可传递、双向。自动建立，不可删除。快捷信任：可传递，单向或双向林信任：可传递，单向或双向外部信任：不可传递，单向或双向（一般在2003域和NT4域之间或两个林的任两个域之间） 领域信任：不可或

4、可传递，单向或双向（一般在windows 域或Kerberos V5系统如Unix 之间）3. 林中的默认信任关系种类及特点父子信任：在同一个域树中父域和子域之间树根信任：在同一个林中的两个域树之间特点：a. 默认建立，不可删除，可传递。b. 自动建立 林中的域之间的信任关系是在创建子域或者域树时自动创建的c. 传递信任 林中的域的信任关系是可传递的如:域A 直接信任域B ，域B 直接信任域C ，则域A 信任域Cd. 双向信任 在两个域之间有两个方向上的两条信任路径如:域A 信任域B ，域B 信任域A4. 林间的信任关系：林之间的信任分为外部信任和林信任外部信任是指在不同林的域之间创建的不可传

5、递的信任林信任是Windows 2003林根域之间建立的信任为任一林内的各个域之间提供一种单向或双向的可传递信任关系5. 林信任的应用场合：如果两个森林要实现信任的话，只是依靠外部信任则需要在多个域之间创建，只要在两个林根之间创建林信任就可免去多个域之间创建信任的过程，适合于两个企业级森林合并。6. 林信任的特点及创建注意事项：a. 要在两个林上分别作DNS 转发。b. 林功能级别为Windows Server 2003才能创建c. 只有在林根域之间才能创建d. 在建立林信任的两个林中的每个域之间的信任关系是可传递的e. 信任方向有单向和双向两种活动目录安装：子域安装： 林中的新域安装： 如果希望安装新的DNS 选择第二选项： 否则，