AD 活動目錄域信任關(guān)系圖解有時候要給學(xué)員們講解AD 活動目錄域信任關(guān)系，所以特地寫了這篇文章來說明信任是在域之間建立的關(guān)系。AD 活動目錄域信任關(guān)系就是可以使一個域中的用戶由其他域中域控制器進(jìn)行身份

AD 活動目錄域信任關(guān)系圖解

有時候要給學(xué)員們講解AD 活動目錄域信任關(guān)系，所以特地寫了這篇文章來說明信任是在域之間建立的關(guān)系。AD 活動目錄域信任關(guān)系就是可以使一個域中的用戶由其他域中域控制器進(jìn)行身份驗證。

一個林中的域之間的所有 Active Directory 信任都是雙向的、可傳遞的信任。如下圖所示:域 A 信任域 B，且域 B 信任域 C，則域 C 中的用戶可以訪問域 A 中的資源（如果這些用戶被分配了適當(dāng)?shù)臋?quán)限）. 只有 Domain Admins 組中的成員才能管理信任關(guān)系.

信任協(xié)議

域控制器使用兩種協(xié)議之一對用戶和應(yīng)用程序進(jìn)行身份驗證：Kerberos version 5 (V5) 協(xié)議或 NTLM。Kerberos V5 協(xié)議

是 Active Directory 域中的計算機(jī)的默認(rèn)協(xié)議。如果事務(wù)中的任何計算機(jī)都不支持 Kerberos V5 協(xié)議，則使用 NTLM 協(xié)議

.

信任方向

單向信任: 單向信任是在兩個域之間創(chuàng)建的單向身份驗證路徑。這表示在域 A 和域 B 之間的單向信任中，域 A 中的用戶可以訪問域 B 中的資源。但是域 B 中的用戶無法訪問域 A 中的資源。單向信任可以是不可傳遞信任，也可以是可傳遞信任，這取決于創(chuàng)建的信任類型。

雙向信任: Active Directory 林中的所有域信任都是雙向的、可傳遞的信任。創(chuàng)建新的子域時，系統(tǒng)將在新的子域和父域之間自動創(chuàng)建雙向可傳遞信任。在雙向信任中，域 A 信任域 B，并且域 B 信任域 A。這表示可以在兩個域之間雙向傳遞身份驗證請求。雙向關(guān)系可以是不可傳遞的，也可以是可傳遞的，這取決于所創(chuàng)建的信任類型。

信任類型

包括外部信任(不可傳遞) 、快捷方式信任(可傳遞) 、領(lǐng)域信任（可傳遞或不可傳遞）、林信任(可傳遞) 。

下面以實例講解配置兩個域之間的信任關(guān)系。

域A:

域B

要求 域A <—> 域B 兩個域相互信任，部分用戶資源互訪。 配置雙向信任關(guān)系 :

登錄兩臺DC 中的任一臺，這里以登錄域A 的DC 為例:

開始->運(yùn)行 輸入 domain.msc，打開活動目錄域和信任關(guān)系控制臺： 定位到域名部分，右擊”屬性”, 切換到”信任選項卡”:

【新建信任】，彈出新建信任向?qū)В?/p>

可以看到，信任關(guān)系有如下幾種類型，本域和同林或者異林中的域、本域和NT4.0域、本域和kerberos V5領(lǐng)域、本域和另一個林。

信任名稱：這里指鍵入要建立信任關(guān)系的域、林或者領(lǐng)域的名稱

信任類型：外部信任和林信任。

這里選擇林信任，林信任使得另一個林中的各個域中的用戶都可以在本林中可用域控制器匯總得到身份驗證。相對外部信任而言，林信任放開的范圍很大，兩個林之間。

雙向： 域A <—->域B 相互信任，可以互訪。

單向(內(nèi)傳): 域A <—- 域B ，域B 為信任域，域A 為受信域，A 可訪問B ，B 不能訪問A 。

單向(外傳): 域A —->域B ，域A 為信任域，域B 為受信域，B 可訪問A ，A 不可訪問B 。

信任方: 選擇”此域和指定的域”

要創(chuàng)建域信任關(guān)系，至少是domain admins組的權(quán)限；

這里輸入在要建立信任關(guān)系的對方域或者林中有權(quán)限的憑證

新建的信任摘要，可按【上一步】進(jìn)行更改，檢查無誤，直接【下一步】