活动目录系列之七：信任（上）

活动目录系列之七：信任（上）                

在一个森林环境中，你们想没想过一个问题，一个域用户无论来自于哪一个域，它均可以作两件事：一是能够不用输密码就可访问森林内任意域的计算机上的共享资源（固然最终能不能访问，要看权限的设置，但至少能够直接打开其计算机）。二是能够在任意的计算机上登陆到本身的域。为何会这样呢？这其实就是“信任关系”所最终决定的。
   那么到底什么是信任呢？信任有哪些好处？
   咱们能够这样来理解：我信任你，那意味着什么呢？其1个人物品（软件资源）你能够随便用，其2个人车（硬件资源）你随便开。而反之，我能用你的物品吗？不能，由于我信任你，但你并不信任我，因此咱们所说的信任是有方向的。回到咱们的森林环境中，以下图所示：
   A域信任B域，A域就叫做“信任域”，B域就叫做“被信任域”，这个方向就至关于从A做一条向B的箭头。那么能够实现什么呢？

  1.被信任域账号(B域用户）能够具备访问信任域（A域）中资源的能力。
  2.被信任域(B域用户）中的用户能够在信任域（A域）中的计算机上登陆到被信任域。
（一）信任方向：有单向和双向两种
a. 单向分为内传和外传两种
  i.内传指指定域信任本地域:在上图中若是在B域上实现，就得作单向内传（中箭了~~）
  ii.外传指本地域信任指定域:在上图中若是在A域上实现，就得作单向外传（箭头朝外）
b. 双向：指两个域相互信任，就像两个好朋友。
（二）2003信任的种类：
父子信任：可传递、双向。自动创建，不可删除。
树根信任：可传递、双向。自动创建，不可删除。
快捷信任：可传递，单向或双向
林信任：可传递，单向或双向
外部信任：不可传递，单向或双向（通常在2003域和NT4域之间或两个林的任两个域之间）
领域信任：不可或可传递，单向或双向（通常在windows域或Kerberos V5系统如Unix之间）
（三）查看信任关系：
打开DC上的domain.msc（AD域和信任关系），在相应的域上右击--属性，在信任里就能看到具体的该域信任的域以及被信任的域是什么。图示就免了吧~~
（四）林中的默认信任关系种类及特色
父子信任：在同一个域树中父域和子域之间
树根信任：在同一个林中的两个域树之间
特色：
a.默认创建，不可删除，可传递。
b.自动创建
林中的域之间的信任关系是在建立子域或者域树时自动建立的
c.传递信任
林中的域的信任关系是可传递的
如域A直接信任域B，域B直接信任域C，则域A信任域C
d.双向信任
在两个域之间有两个方向上的两条信任路径
例如，域A信任域B，域B信任域A
（五）林间的信任关系：
林之间的信任分为外部信任和林信任外部信任是指在不一样林的域之间建立的不可传递的信任 林信任是Windows 2003林根域之间创建的信任为任一林内的各个域之间提供一种单向或双向的可传递信任关系 （六）林信任的应用场合：若是两个森林要实现信任的话，只是依靠外部信任则须要在多个域之间建立，若是在两个林根之间建立林信任就OK了，很是适合于两个企业合并。（七）林信任的特色及建立注意事项：a. 要在两个林上分别做DNS转发。b. 林功能级别为Windows Server 2003才能建立c. 只有在林根域之间才能建立d. 在创建林信任的两个林中的每一个域之间的信任关系是可传递的e. 信任方向有单向和双向两种好了，先写这些吧，下篇我分给你们讲解如何在森林之间实现林信任，而其它信任关系实现相似。