WindowsServer2012活动目录企业应用（微课版）全套PPT课件.ppt

ActiveDirectory域服务相关知识图8-2ADDS信任的特点8.2.1ADDS信任信任允许安全主体将其凭据从一个域传到另一个域，并且是允许域间资源访问所必需的。配置了域间信任后，用户可以在自己的域中进行身份验证，然后他们的安全凭据可用于访问其他域中的资源。其特点如图8-2所示。ActiveDirectory域服务相关知识8.2.2ADDS信任选项图8-3表示了所有的信任选项。表8-2描述了WindowsServer2012支持的信任。图8-3ADDS信任选项ActiveDirectory域服务相关知识表8-2ADDS信任类型ActiveDirectory域服务相关知识1．受信任域对象在设置同林内的域之间、跨林的域之间，以及与外部领域之间的信任时，有关这些信任的信息存储在ADDS中，这样就能在需要时检索这些信息（如图8-4所示）。受信任域对象（TDO）存储着这些信息。图8-4信任在林中的工作方式ActiveDirectory域服务相关知识TDO存储有关信任的信息，如信任可传递性和类型。每当创建信任时，将同时创建新的TDO，并存储在该信任的域中的System容器中。2．信任如何使用户能访问林中的资源当用户尝试访问另一个域中的资源时，Kerberos身份验证协议必须确定信任域是否与被信任域之间有信任关系。为了确定此关系，Kerberos版本5协议遍历信任路径（利用TDO获得对目标域的域控制器的引用）。目标域控制器为被请求的服务发出一个服务票证。信任路径是信任层次结构中的最短路径。ActiveDirectory域服务相关知识当受信任域中的用户尝试访问其他域中的资源时，该用户的计算机首先联系自己域中的域控制器，以向资源验证身份。如果资源不在该用户的域中，那么域控制器将使用与其父级的信任关系，并将该用户的计算机引向其父域中的域控制器。这种查找资源的尝试将沿着信任层次结构向上连续进行，有可能直到林根域，然后沿着信任层次结构向下，直至联系到资源所在域中的域控制器。ActiveDirectory域服务相关知识8.2.4信任在林间的工作方式WindowsServer2012支持跨林信任，这种信任允许一个林中的用户访问另一个林中的资源。当用户尝试访问受信任林中的资源对，ADDS必须首先找到资源，然后才可验证用户身份，并允许用户访问资源。以下是Windows8.1客户端计算机如何查找并访问含有WindowsServer2012服务器的另一个林中的资源的描述（如图8-5所示）。ActiveDirectory域服务相关知识ActiveDirectory域服务相关知识①登录到BEIJING.L域的用户试图访问S林中的某个共享文件夹。该用户的计算机联系BEIJING.L中的域控制器，并使用资源所在的计算机的服务主体名（SPN）请求服务票证。SPN可以是主机或域的DNS名称，也可以是服务连接点对象的可分辨名称。②资源不在BEIJING.L中，因此BEIJING.L的域控制器查询全局编录，以了解资源是否位于林中的另一个域内。由于全局编录只包含有关其自己的林的信息，因此找不到对应的SPN。全局编录然后检查其数据库，以查找有关与它的林之间建立的任何林信任的信息。如果全局编录找到林信任，那么它将把林信任TDO中列出的名称后缀与目标SPN的后缀进行比较。找到匹配项后，全局编录提供有关如何从BEIJING.L中的域控制器定位到该资源的路由信息。ActiveDirectory域服务相关知识③BEIJING.L的域控制器将对其父域L的引用发送给用户的计算机。④用户计算机联系L中的域控制器，以获得对S林的根域域控制器的引用。⑤用户计算机使用L域中的域控制器返回的引用，联系S中的域控制器，以获得对被请求服务的服务票证。⑥资源不在S林的林根域中，因此域控制器联系其全局编录以查找SPN。全局编录找到该SPN的匹配项，然后将其发送给域控制器。ActiveDirectory域服务相关知识⑧用户计算机联系J域控制器上的密钥发行中心（KDC），并通过协商获得允许用户访问J域中的资源的票证。⑨用户计算机将服务器服务票证发送给共享资源所在的计算机，该计算机读取用户的安全凭据，然后构造访问令牌，令牌给予用户对资源的访问权。ActiveDirectory域服务相关知识8.2.5用户主体名称用户主体名称（UPN）是仅在登录到WindowsServer2012网络时使用的登录名。其主要特点如图8-6所示。图8-6用户主体名称Acti