原創地址:http://www.cnblogs.com/jfzhu/p/4002836.html
轉載請注明出處
如果你的活動目錄中,只有一個森林,一個域,那么恭喜你,你的生活將非常愉快,你應該繼續保持這樣。
但是往往生活並不如意,比如像下面這家公司,有兩個獨立的部門,每個部門都有自己的域、子域和命名空間。另外該公司還收購了另一家公司,這家被收購的公司也有自己的森林、域和子域。
一個域里的用戶想要訪問另一個域里的資源,是怎么實現的呢? 活動目錄為父域和子域之間自動生成了一個雙向的,可傳遞的信任關系(two way, transitive trust)。可傳遞的信任關系,通俗點說,就是如果我信任你,那么我也信任你所信任的域。
如果父域和子域之間不是可傳遞的信任關系,以該公司第一個部門為例,我們要創建如下圖所示如此之多的雙向、非可傳遞的信任關系。非可傳遞的信任關系可以幫助你對各個域之間進行細粒度的控制,但是當域的數目較多時,非可傳遞的信任關系就變得難以維護了。
如果部門一里一個子域里的用戶想要訪問部門二里某個子域里的資源,部門一的域樹和部門二的域樹之間要建立一個Tree Trust。
但是像上圖所示,用戶要訪問其他域里的資源,要經過多層的信任關系才能達到,這樣效率不高。如果兩個域之間的距離較遠,但又有頻繁的訪問,可以在兩個域之間建立一個Shortcut Trust。
如果母公司和被收購的公司之間的資源想要互相訪問,那么在母公司的森林和子公司的森林之間要建立一個Forest Trust。Forest Trust也是可傳遞的(Transitive Trust)。
Windows的活動目錄如果需要和其他目錄系統建立信任關系,如果其他系統使用的也是Kerberos,那么雙方可以建立單向或者雙向,可傳遞或者非可傳遞的Realm Trust關系。
還有一種信任關系叫External Trust,在Windows 活動目錄和比較老的NT4系統之間使用。這種信任關系是單向、非可傳遞的,因此如果想建立雙向的信任關系,需要每個方向都創建一個External Trust。
One way trust,如果域B里的用戶想要訪問域A里的資源,那么A要相信B才行,所以信任關系的箭頭是從A指向B。由於是單向信任關系,域A里的用戶是無法訪問到域B里的資源的。另外信任關系只是提供了一條可能的訪問路徑,用戶是否允許訪問該資源,還是需要對用戶權限進行配置。
總結:
信任關系又單向的、雙向的、可傳遞的和非可傳遞的。
父域和子域之間的信任關系是系統自動幫助建立的,是雙向可傳遞的信任關系。
Tree Trust也是雙向、可傳遞的信任關系。
除此之外還提到了Shortcut Trust, Forest Trust, Realm Trust和External Trust。
