活动目录的信任关系

原创地址：http://www.cnblogs.com/jfzhu/p/4002836.html

转载请注明出处

 

 

若是你的活动目录中，只有一个森林，一个域，那么恭喜你，你的生活将很是愉快，你应该继续保持这样。

 

 

 

可是每每生活并不如意，好比像下面这家公司，有两个独立的部门，每一个部门都有本身的域、子域和命名空间。另外该公司还收购了另外一家公司，这家被收购的公司也有本身的森林、域和子域。

 

 

 

一个域里的用户想要访问另外一个域里的资源，是怎么实现的呢？ 活动目录为父域和子域之间自动生成了一个双向的，可传递的信任关系（two way, transitive trust）。可传递的信任关系，通俗点说，就是若是我信任你，那么我也信任你所信任的域。

 

 

若是父域和子域之间不是可传递的信任关系，以该公司第一个部门为例，咱们要建立以下图所示如此之多的双向、非可传递的信任关系。非可传递的信任关系能够帮助你对各个域之间进行细粒度的控制，可是当域的数目较多时，非可传递的信任关系就变得难以维护了。

 

 

若是部门一里一个子域里的用户想要访问部门二里某个子域里的资源，部门一的域树和部门二的域树之间要创建一个Tree Trust。

 

 

可是像上图所示，用户要访问其余域里的资源，要通过多层的信任关系才能达到，这样效率不高。若是两个域之间的距离较远，但又有频繁的访问，能够在两个域之间创建一个Shortcut Trust。

 

 

若是母公司和被收购的公司之间的资源想要互相访问，那么在母公司的森林和子公司的森林之间要创建一个Forest Trust。Forest Trust也是可传递的（Transitive Trust）。

 

 

Windows的活动目录若是须要和其余目录系统创建信任关系，若是其余系统使用的也是Kerberos，那么双方能够创建单向或者双向，可传递或者非可传递的Realm Trust关系。

 

 

还有一种信任关系叫External Trust，在Windows 活动目录和比较老的NT4系统之间使用。这种信任关系是单向、非可传递的，所以若是想创建双向的信任关系，须要每一个方向都建立一个External Trust。

 

 

One way trust，若是域B里的用户想要访问域A里的资源，那么A要相信B才行，因此信任关系的箭头是从A指向B。因为是单向信任关系，域A里的用户是没法访问到域B里的资源的。另外信任关系只是提供了一条可能的访问路径，用户是否容许访问该资源，仍是须要对用户权限进行配置。

 

 

 

总结：

信任关系又单向的、双向的、可传递的和非可传递的。

父域和子域之间的信任关系是系统自动帮助创建的，是双向可传递的信任关系。

Tree Trust也是双向、可传递的信任关系。

除此以外还提到了Shortcut Trust, Forest Trust, Realm Trust和External Trust。