1 Windows 域信任關系概述
信任關系是在Windows的域(或林)之間建立的關系,它可以使一個域(或林)中的用戶由另一個域(或林)中的域控制器來進行 驗證,實現同一個林中的跨域訪問和不同林之間的跨域訪問,從而為企業不同部門之間的資源互訪提供便利。
Windows域信任關系分為林中的信任關系和林之間的信任關系兩種類型。
1.1 林中的信任關系
林中的信任關系是指在同一個林內部自動創建的信任關系,並且具備可傳遞、雙向的特征,當在一個林中添加域樹或子域后, 林中所有域之間的信任關系就會自動創建。
1.2 林之間的信任關系
林之間的信任關系可分為外部信任和林信任。外部信任是指在不同林的域之間手動創建的不可傳遞的信任;林信任是指在 任一林中的各個域之間手動創建的單向的或雙向的可傳遞的信任關系 。外部信任為不同林中的不同域之間跨域訪問資源提供 了方法,但如果兩個林中分別有多個域,就需要創建多個外部信任,增加了操作的復雜性,簡單的方法是只要在林根域之間建立林 信任關系,而不需要創建多個外部信任,因為林信任是可傳遞的。
2 域信任關系在企業管理中的應用
2.1 林中的信任關系在企業管理中的應用
某公司采用Windows域環境進行管理,總公司的域名為abc.com,公司有兩個分公司,域名分別為aa.abc.com和bb.abc.com,把它們作為根域abc.com的子域,只要確立好是父子關系后,他們之間的信任關系也就確立了,也就能實現總公司和分公司之間資源 互訪。首先子域bb.abc.com會與根域建立起互相信任的雙向關系,同時因為根域也信任子域aa.abc.com,由於在同一林中域的信任 是會自動傳遞的,所以子域bb.abc.com與子域aa.abc.com也是相互信任的 。如圖1所示,箭頭表示信任關系。
在林A中添加子域aa.abc.com 和bb.abc.com后,林中所有域之間的信任關系就會自動創建。
操作步驟如下:
1)在新服務器上運 行“dcpromo”命令,在歡迎向導界面中選擇“使用高級模式”安裝,單擊下一步按鈕;
2)根據安裝向導提示進入“選擇某一部署配置” 界面。逐層選擇“現有林”、“在現有林中新建立域”,單擊“下一步”;如圖2所示。
3)在“網絡憑據”界面中輸入目標林中已存在域的名稱,設置用於執行安裝的帳戶憑據,單擊“下一步”;如圖3所示。
4)在“命名新域”界面中,輸入父域的FQDN及子域的名稱,單擊“下一步”;如圖4所示。
5)按照安裝向導提示,完成剩余的安裝,然后重啟服務器即可。 用同樣的方法可以自動創建域abc.com和域bb.abc.com之間的信任關系。完成安裝后,在“Active Directory域和信任關系”管理 控制台中可以查看到域abc.com和域aa.abc.com、域bb.abc.com之間是父子信任關系。
2.2 林信任關系在企業管理中的應用
林信任是Windows Server 2003林和Windows Server 2008林特有的信任,創建林信任可為任一林中的各個域之間提供一種單向 或雙向的可傳遞信任關系。兩個公司分別具有不同的林根域abc.com和林根域xyz.com,域aa.abc.com和域bb.abc.com是林根域abc. com子域,域cc.xyz.com是林根域xyz.com子域,要實現兩個林中所有域資源互訪,只要在林根域abc.com和林根域xyz.com之間建立 林信任就可以。如圖5所示。
首先分別在兩個林根域的DNS中設置輔助區域用於解析對方地址,或者增加第三台DNS服務器對兩個林根域進行解析,然后 創建可傳遞的林信任關系。
具體操作步驟如下:
1)打開“Active Directory域和信任關系”管理控制台,右擊域名“xyz.com”,在彈出菜單中選擇“屬性”,在彈 出的屬性界面中打開“信任”選項卡,單擊“新建信任”,打開“新建信任向導”,在“信任名稱”界面中,輸入對方林根域的名稱,此例 中為“abc.com”,單擊“下一步”。如圖6所示。
2)在“信任類型”界面中,選擇“林信任”;在“信任方向”界面中,選擇“單向:外傳”;在“信任方”界面中,選擇“此域和指定域”。
3)在“用戶名和密碼”界面中,輸入指定域有管理權限的用戶名和密碼,單擊“下一步”。如圖7所示。
4)在“傳出信任身份驗證級別——本地林”界面中,選擇“全林身份驗證”,單擊“下一步”,直至完成。如圖8所示。
信任創建完成后,在兩個域的DC上打開“Active Directory域和信任關系”。域abc.com為林內向信任,被域xyz.com信任,信任 可傳遞;域xyz.com為林外向信任,信任域abc.com,信任可傳遞。
2.3 運用AGDLP規則賦權限,實現跨域訪問資源
信任關系的建立為跨域訪問資源提供了前提條件,但要成功訪問資源還必須設置權限。AGDLP規則是指先將用戶帳戶加入 到全局組,然后將全局組加入本地域組,最后再給本地域組賦予相應的權限。A表示帳戶(Account)、G表示全局組(Global Group)、 DL表示本地域組(Domain Local Group)、P表示賦予權限(Permission)。
若域abc.com中的財務部用戶UserA和UserB需要訪問域xyz.com的共享文件夾“soft”,具體操作步驟如下:
1)在域abc.com的 DC上創建全局組global_fina,並將用戶帳戶UserA和UserB加入到該組中。
2)在域xyz.com的DC上創建本地域組local_fina,然后在 其“屬性”界面中打開“成員”選項卡,單擊“添加”按鈕,打開“選擇用戶、聯系人、計算機或組”界面,單擊“查找范圍”,在打開的“位 置”界面中,選擇“abc.com”,然后單擊“確定”按鈕。
3)返回“選擇用戶、聯系人、計算機或組”界面,輸入全局組名稱“global_fina”,然后單擊“確定”按鈕。如圖9所示。
4)在文件夾soft上賦予本地域組local_fina相應的讀取權限。設置完成后,用戶UserA 和UserB就可以通過登錄本域內的計算 機訪問共享文件夾soft了,或者用戶UserA和UserB也可以使用xyz.com的計算機登錄訪問共享文件夾soft,但在登錄時需要注明帳 戶為域abc.com的帳戶,而不是默認xyz.com的帳戶。如圖10所示。
參考文獻:
[1] Bartoli Adrien, A Random Sampling StrategyFor Piecewise Planar Scene Segmentation[J]. Computer Vision and Image Understanding, 2007, 105(1): 42-59.
[2] 葉昭輝,楊高峰,楊岳湘.一種基於潛在語義分析的中文網頁自動摘要方法[J].廣西大學學報:自然科學版,2012,37(2):342-345.
[3] 蔡嘉誠.潛在語義索引技術在知識產權專家庫中的研究與應用[D].蘇州大學碩士論文,2010.04.
[4] 楊文清.基於Web文檔庫的中文全文檢索技術與實現[D].南京大學計算機科學與工程系碩士論文,1998.
[5] Ishii,Murai,Yamada.Text Classification by combining Grouping[J],LSA and KNN,Computer and Information Science,July 2006:148- 154.
[6] Sudarsun.S,Venkatesh Prabhu.G Sathish Kumar.V.Role of weighting on TDM in Improvising PerformanceofLSA on TbXt Data[C],An⁃ nual India Conference,2006,Sept.2006:1-6.
[7] 余正濤,樊孝忠,郭劍毅,等.基於潛在語義分析的漢語問答系統答案提取[J].計算機學報,2006,29(10):1889-1893.
[8] 蓋傑,王怡,武港山.基於潛在語義分析的信息檢索[J].計算機工程,2004(30).
[9] 戚涌,徐永紅,劉鳳玉.基於潛在語義標引的Web文檔自動分類[J].計算機工程與應用,2004(22):28-31.