在乙個森林環境中,大家想沒想過乙個問題,乙個域使用者不管來自於哪個域,它都可以做兩件事:一是可以不用輸密碼就可訪問森林內任意域的計算機上的共享資源(當然最終能不能訪問,要看許可權的設定,但至少可以直接開啟其計算機)。二是可以在任意的計算機上登入到自己的域。為什麼會這樣呢?這其實就是「信任關係」所最終決定的。
那麼到底什麼是信任呢?信任有哪些好處?
我們可以這樣來理解:我信任你,那意味著什麼呢?其1我的物品(軟體資源)你可以隨便用,其2我的車(硬體資源)你隨便開。而反之,我能用你的物品嗎?不能,因為我信任你,但你並不信任我,所以我們所說的信任是有方向的。回到我們的森林環境中,如下圖所示:
a域信任b域,a域就叫作「信任域」,b域就叫作「被信任域」,這個方向就相當於從a作一條向b的箭頭。那麼可以實現什麼呢?
1.被信任域帳號(b域使用者)可以具有訪問信任域(a域)中資源的能力。
2.被信任域(b域使用者)中的使用者可以在信任域(a域)中的計算機上登入到被信任域。
(一)信任方向:有單向和雙向兩種
a. 單向分為內傳和外傳兩種
i.內傳指指定域信任本地域:在上圖中如果在b域上實現,就得做單向內傳(中箭了~~)
ii.外傳指本地域信任指定域:在上圖中如果在a域上實現,就得做單向外傳(箭頭朝外)
b. 雙向:指兩個域相互信任,就像兩個好朋友。
(二)2003信任的種類:
父子信任:可傳遞、雙向。自動建立,不可刪除。
樹根信任:可傳遞、雙向。自動建立,不可刪除。
快捷信任:可傳遞,單向或雙向
林信任:可傳遞,單向或雙向
外部信任:不可傳遞,單向或雙向(一般在2003域和nt4域之間或兩個林的任兩個域之間)
領域信任:不可或可傳遞,單向或雙向(一般在windows域或kerberos v5系統如unix之間)
(三)檢視信任關係:
開啟dc上的domain.msc(ad域和信任關係),在相應的域上右擊--屬性,在信任裡就能看到具體的該域信任的域以及被信任的域是什麼。圖示就免了吧~~
(四)林中的預設信任關係種類及特點
父子信任:在同乙個域樹中父域和子域之間
樹根信任:在同乙個林中的兩個域樹之間
特點:a.預設建立,不可刪除,可傳遞。
b.自動建立
林中的域之間的信任關係是在建立子域或者域樹時自動建立的
c.傳遞信任
林中的域的信任關係是可傳遞的
如域a直接信任域b,域b直接信任域c,則域a信任域c
d.雙向信任
在兩個域之間有兩個方向上的兩條信任路徑
例如,域a信任域b,域b信任域a
(五)林間的信任關係:
林之間的信任分為外部信任和林信任
外部信任是指在不同林的域之間建立的不可傳遞的信任
林信任是windows 2003林根域之間建立的信任
為任一林內的各個域之間提供一種單向或雙向的可傳遞信任關係
(六)林信任的應用場合:
如果兩個森林要實現信任的話,只是依靠外部信任則需要在多個域之間建立,如果在兩個林根之間建立林信任就ok了,非常適合於兩個企業合併。
(七)林信任的特點及建立注意事項:
a. 要在兩個林上分別作dns**。
b. 林功能級別為windows server 2003才能建立
c. 只有在林根域之間才能建立
d. 在建立林信任的兩個林中的每個域之間的信任關係是可傳遞的
e. 信任方向有單向和雙向兩種
好了,先寫這些吧,下篇我分給大家講解如何在森林之間實現林信任,而其它信任關係實現類似。
Ldap之活動目錄介紹二
執行 active directory 安裝嚮導將 windows 2000 server 計算機公升級為域控制器會建立乙個新域或者向現有的域新增其他域控制器。建立域控制器可以 建立網路中的第乙個域。在樹林中建立其他的域。提高網路可用性和可靠性。提高站點之間的網路效能。要建立 windows 200...
活動目錄之USN 原創譯文
物件的元資料在複製過程中如何被更改 讓我們看一下4步驟的乙個例子 1.server a上乙個物件 乙個使用者 被建立 2.物件被複製到b 3.物件接著在b上被修改 4.在b上的修改被複製給a 整個過程如圖 how metadata is modified during replication ste...
Matlab命令系列之目錄操作
1.filesep 用於返回當前平台的目錄分隔符,windows是反斜槓 linux是斜槓 有時此命令結合ispc命令使用,可以靈活的設定目錄分割符。2.fullfile 用於將若干字串連線成乙個完整的路徑,根據不同的作業系統自動填充目錄分割符。例如 f fullfile d matlab exam...