没事练打字－域信任关系

信任关系

如果网络中存在多个不同的域，为了使用户可以登录到每个域中并使用各个域中的资源，不同域之间就需要创建信任关系。信任关系是两个域控制器之间实现资源互访的重要前提，其中信任域负责受信任域的登录验证，受信域中定义的用户账户和全局组可以获得信任域的权利和权限，即使该用户或组不在信任域的目录中。

1、信任关系类型

（1）可传递信任

每次在林中创建新的域时，在新域及其父域之间会自动创建双向的可传递信任关系。如果子域被添加到新的域中，则信任路径将通过域层次向上流动，从而扩展到新域与其父域之间创建的初始信任路径。

可传递信任关系将以域树形成时的方向沿域树向上流动，最终在域树中的拔脚中传递信任，身份验证请求遵循这些信任路径，来自林的任何域中的帐户可在林中的任何其他域中进行验证。通过单个登录进程，拥有相应权限的账户可访问林中任何域中的资源。

除了windows server 2008林中建立的默认可传递信任，还可以使用“新建信任向导”手动创建下列可传递信任，包括如下3种类型。

• 快捷信任。在相同域中树或林中的域之间的可传递信任，用于缩短大型复杂的域树或林中的信任路径。
• 林信任。在林根域和第二个林根域之间的可传递信任。
• 领域信任。在active directory域和kerberos V5领域之间的可传递信任。

有时候信任关系并不是由于加入域目录树或用户创建的，而是由彼此之间的传递性得到的，这种信任关系也被称为隐含的信任关系，如图所示，其中域A与域B相互信任，域A与域C也是相互信任，由此得出了域C和域B之间的信任关系。

 

 

 

（2）非传递信任

非传递信任受信任关系中两个域的约束，并不流向林中的任何其他域。非传递信任可以是双向信任或单向信任，默认为单向信任关系，但用户也可通过建立两个单向信任来建立一个双向关系，总的来说，非传递域信任是以下各项之间唯一的信任关系。

• windows server2003/2008域和windows NT域。
• 一个林中的windows server域和信任关系中的“新建信任向导”手动创建下列非传递信任。
• 领域信任。在active directory域和kerberos V5领域之间的非传递信任。
• 当把WINDOWS NT域升级到windows SERVER 2003/2008域时，所有现有的WINDOWS NT信任都保持不变，在windows server2003/2008 域和windows nt域之间所有信任关系都是不可传递的。