域和林信任关系的设计考虑.docxVIP

域和林信任关系的设计考虑（一）

信任关系基础

在大型网络中，通常存在多个域，甚至多个林，在具体配置这些域和林之前，先要了解它们之间的默认和可配置的信任关系，以便恰当地配置各级域，以及各个林之间的信任关系。这也是域、林之间安全、有效访问的基础

1.什么是信任

信任是域或林之间建立的关系，它可使一个域（或林）中的用户由处在另一个域（或林）中的域控制器来进行

验证。WindowsNT中的信任关系与Windows2000和WindowsServer2003操作系统中的信任关系不同。

（l）WindowsNT中的信任

在WindowsNT4.0及其以前版本中，信任仅限于两个域之间，而且信任关系是单向和不可传递的。如图

5—8所示，指向受信任域的直箭头显示了非传递的、单向信任。

(2)WindowsServer2003和Windows2000Server操作系统中的信任

Windows2000Server和WindowsServer2003林中的所有信任都是可传递的、双向信任。因此，信任关

系中的两个域都是受信任的。如图5—9所示，如果域A信任域B，且域B信任域C，则域C中的用户（授予

适当权限时）可以访问域A中的资源。只有DomainAdmins组的成员可以管理信任关系

国S-9WindgwSen/M200｝和Wind。膈MOOServer段作系统中馆帛任

信任类型

域和域之间的通信是通过信任发生的。信任是为了使一个域中的用户访问另一个域中的资源而必须存在的

身份验证管道。使用“ActiveDirectory安装向导时，将会创建两个默认信任，而使用“新建信任向导

或Netdom命令行工具可创建另外4种类型的信任。

(1)默认信任

在默认情况下，当使用“ActiveDirectory安装向导在域树或林根域中添加新域时，系统会自动创建双

向的可传递信任。表5-3中定义了两种默认信任类型。

表5—3两种默认信任

信任类型

传递性

方向

描述

父子

可传递

双向

在默认情况下，当现有域树中添加新的子域时，将建立一个新的父子信任。来自从属域的身份验证请求将通过其父项向上传递到信任域中。也就是说父域与子域之间是双向信任的

树根

可传递

双向

在默认情况下，当现有林中创建新的域树时，将建立一个新的树根信任。

也就是说在新建域树与根域之间也是双向信任的

(2)其他信任

在使用“新建信任向导”或Netdom命令行工具时，可创建其他4种类型的信任：外部信任、领域信任、林

信任和快捷信任。表5—4中定义了这些信任。

表5—4其他信任

信任类型

传递性

方向

描述

外部

不可传递

单向或双向

使用外部信任可访问WindowsNT4.O域中的资源，或单独(未经林信任连接)的林内某个域中的资源

领域

可传递或

不可传递

单向或双向

使用领域信任可建立非WindowsKerberos领域(如UNIX领域)和

WindowsServer2003域之间的信任关系

林

可传递

单向或双向

使用林信任可在各个林之间共享资源。如果林信任是双向信任，则任一个林中的身份验证请求都可以到达另一个林

快捷

可传递

单向或双向

使用快捷信任可改善WindowsServer2003林内的两个N2—间的用户登录时间。当两个域被两个域树分隔开时，这是很有用的

在创建外部信任、快捷信任、领域信任或林信任时，可以选择单独创建信任的每一方或同时创建信任的双

方。如果选择单独创建信任的每一方，则需要运行两次“新建信任向导”，为每个域运行一次。当使用此

方法创建信任时，需要为每个域提供相同的信任密码。作为最佳的安全操作，所有信任密码都应是强密码。

如果选择同时创建信任的双方，则需要运行一次“新建信任向导。当选择该选项时，系统将自动为你生成

强信任密码。但你需要对在其间创建信任的每个域拥有适当的管理凭据。

信任方向

信任类型及其指派方向将影响进行身份验证所用的信任路径。信任路径是身份验证请求在域之间必须遵循的一组信任关系。在用户可以访问另一个域中的资源之前，在运行域控制器上的安全系统必须确定信任域(含有用户试图访问的资源的域)和受信任域(用户的登录域)之间是否有信任关系。为此，安全系统将计算信任域中的域控制器和受信任域的域控制器之间的信任路径。信任方向是由箭头表示的，如域A_域B，表示域A信任域B，但域B不信任域A，而如果是域A卜一域B，则域A与域B之间就是相互信任了。在如图

5—8中，信任路径由显示信任方向的箭头标出。

信任方向有单向信任和双向信任之分。单向信任是两个域之间创建的单向身份验证路径。这意味着在域A和域B之间的单向信任中，域A中的用户可以访问域B中的资源。但是域B中的用户不能访问域A中的资

源