域林之間的信任關系使用WIN2003創(chuàng)建的AD(域林) 中的各個域之間的信任關系默認就是雙向信任可傳遞的。那么，如果企業(yè)的應用中如果出現(xiàn)了兩個林或更多的林時，還要進行相互的資源訪問時，我們該怎么辦?

域林之間的信任關系

使用WIN2003創(chuàng)建的AD(域林) 中的各個域之間的信任關系默認就是雙向信任可傳遞的。那么，如果企業(yè)的應用中如果出現(xiàn)了兩個林或更多的林時，還要進行相互的資源訪問時，我們該怎么辦? 因為默認只是同在一個域林中才能雙向信任可傳遞，兩個域林(AD)間沒有這個關系，那么就需要我們手動來配置域林之間的信任關系，從而來保證不同域林中的資源互訪。比如說企業(yè)之間的兼并問題，兩個公司之前都使用的是MS 的AD 來管理，那么大家可想而知這兩家企業(yè)之前肯定是兩個域林，那么現(xiàn)在兼并后，如何讓這兩個域林之間能夠建立信任關系嗎? 都有什么方法呢? 那今天我們就來學習一下如何創(chuàng)建域林之間的信任關系! 在一個林中林之間的信任分為外部信任和林信任兩種：

⑴ 外部信任是指在不同林的域之間創(chuàng)建的不可傳遞的信任

⑵ 林信任是Windows Server 2003林根域之間建立的信任，為任一域林內(nèi)的各個域之間提供一種單向或雙向的可傳遞信任關系。

1. 創(chuàng)建外部信任

創(chuàng)建外部信任之前需要設置DNS 轉(zhuǎn)發(fā)器：在兩個林的DC 之間的DNS 服務器各配置轉(zhuǎn)發(fā)器： 在aptech.com 域中能解析benet.net ，在benet.net 域中能解析aptech.com

⑴ 首先我們在aptech.com 域的DC 上配置DNS 服務器設置轉(zhuǎn)發(fā)器，把所有benet.net 域的解析工作都轉(zhuǎn)發(fā)到192.168.6.6這臺機器上：

1

配置后DNS 轉(zhuǎn)發(fā)后去PING 一下benet.net ，看是否連通，如果通即可：

然后再在另一個域benet.net 中的DC 的DNS 服務器也同樣設置DNS 轉(zhuǎn)發(fā)，把aptech.com 的轉(zhuǎn)發(fā)到192.168.6.1的機器上來：

2

同樣PING 一下aptech.com ，看是否能PING 通：

⑵ 準備工作做好后，就開始創(chuàng)建外部信任：

首先在aptech.com 域的DC 上打開"AD 域和信任關系" 工具，在aptech.com 域的" 屬性" 中的" 信任" 選項卡：

3

單擊" 新建信任" ：

輸入信任名稱(這里要注意是你這個域要信任的域) ：

4

選擇" 單向：外傳" ：

雙向：本地域信任指定域，同時指定域信任本地域

單向：內(nèi)傳：指定域信任本地域(換句話說就是，你信任我的關系)

單向：外傳：本地域信任指定域(例如，aptech.com 域信任benet.net 域，我信任你的關系)

注意：由于信任關系是在兩個域之間建立的，如果在域A(本地域) 建立一個" 單向：外傳" 信任，則需要在

5

域B(指定域) 必須建立一個" 單向：內(nèi)傳" 信任. 但如果選擇了" 這個域和指定的域" 單選按鈕，就會在指定域自動建立一個" 單向：內(nèi)傳" 的信任!

輸入指定域中有管理權限的用戶名和密碼：

6

7

⑶ 創(chuàng)建完成后，驗證方法可以使用： 在aptech.com 域的DC 上查看信任關系：

8

在benet.net 域的DC 上查看信任關系：

還有一種驗證方法就是被信任域的用戶可以到信任域的計算機上登錄，在信任域的計算機上的登錄對話框

9

中有被信任域名，說明可以輸入被信任域的帳戶登錄(前提是要賦予該帳戶登錄的權限) ：

但是否能登錄還是要看權限，因為默認情況下是不能登錄到DC 的，那么在本地域的" 域控制器安全策略" 中打開" 安全策略-" 本地策略"-"" 用戶權限分配"-" 允許在本地登錄" 中添加被信任域的管理員即可!

⑷ 林之間的外部信任的特點：

手工建立

林之間的信任關系需要手工創(chuàng)建

信任關系不可傳遞

林中的域的信任關系是不可傳遞的

例如，域A 直接信任域B ，域B 直接信任域C ，不能得出域A 信任域C 的結(jié)論

信任方向有單向和雙向兩種

單向分為內(nèi)傳和外傳兩種

內(nèi)傳指指定域信任本地域

外傳指本地域信任指定域

⑸ 創(chuàng)建好林中的信任關系后可以進行跨域訪問資源

應用AGDLP 規(guī)則實現(xiàn)跨域訪問

具體規(guī)則是：

① 被信任域的帳戶加入到本域的全局組

② 被信任域的全局組加入到信任域的本地域組

③ 給信任域的本地域組設置權限

2. 創(chuàng)建林信任

外部信任為不同域之間跨域訪問資源提供了方法，但如果兩個林中有許多域，要跨域訪問資源就需要常見很多個外部信任，有沒有簡單方法呢? 當然是有的，那就是只用在林根域之間建立林信任就不需要創(chuàng)建多個外部信任，因為林信任是可傳遞的。

創(chuàng)建林信任與創(chuàng)建外部信任的方法類似，不同的是在創(chuàng)建林信任之前要升級林功能級別為Windows Server 2003模式。(解釋一下，在WIN2003中創(chuàng)建的域模式共有三種，NT 混合模式，WIN2000本機模式和WIN2003純模式，域模式是用來為了兼容老版本操作系統(tǒng)的域控制器，而限制某些新的功能。) 這是創(chuàng)建林信任的前提條件。升級林功能級別之前，需要將林中所有域的域功能級別設置為WIN2000模式或WIN2003模式。 10