Windows域信任关系建立全攻略

域的设置方法
依次操作，右键点击我的电脑-属性-计算机名，如下图：
点击更改，在弹出的窗口中选择域，在输入框中输入lan，确定。

点击确定后会弹出如下图的窗口，输入个人用户名和密码确定。

此步可能会需要耐心等待一会儿。

成功后会有如下提示：
确定，再确定，会弹出如下对话框：
点击“是”重启计算机。

由于加入了域，计算机的登录方式会改变，首先会出现如下窗口：
同时按下Ctrl+Alt+Delete 三个键，出现如下登录窗口：
点击“选项”后，在“登录到”选择LAN，输入个人用户名和密码，确定。

第一次用域的方式登录会出现如下窗口：
登录成功，初始化完毕，出现桌面：
此时，用户名显示的是Ray Rao。

访问文件服务器在资源管理器或浏览器里输入\\192.168.1.5，访问过程中不需
要再输入用户名和密码。

注意，此时登录后，并不是管理员权限。

需要在本计算机将此账户提升为管理员级别。

首先注销当前登录的用户，在登录时输入管理员的账户和密码，并在“登录到”选择“本机”，确定。

登录后，依次点击开始，控制面板，用户帐户：
点击添加，输入个人用户名及域 下一步
选择其它，并在列表中选择Administrators
完成，确定。

注销，此时再次用域帐户登录，记得要在“登录到”选择LAN。

如果有其它技术问题，请联系IT部技术人员。

windows域域的含义域英文叫DOMAIN——域(Domain)是Windows网络中独立运行的单位，域之间相互访问则需要建立信任关系(即Trust Relation)。

信任关系是连接在域与域之间的桥梁。

当一个域与其他域建立了信任关系后，2个域之间不但可以按需要相互进行管理，还可以跨网分配文件和打印机等设备资源，使不同的域之间实现网络资源的共享与管理。

域既是Windows 网络操作系统的逻辑组织单元，也是Internet的逻辑组织单元，在Windows 网络操作系统中，域是安全边界。

域管理员只能管理域的内部，除非其他的域显式地赋予他管理权限，他才能够访问或者管理其他的域，每个域都有自己的安全策略，以及它与其他域的安全信任关系。

域的原理其实可以把域和工作组联系起来理解，在工作组上你一切的设置在本机上进行包括各种策略，用户登陆也是登陆在本机的，密码是放在本机的数据库来验证的。

而如果你的计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证，也就是说你的账号密码可以在同一域的任何一台计算机登陆.如果说工作组是“免费的旅店”那么域（Domain）就是“星级的宾馆”；工作组可以随便出出进进，而域则需要严格控制。

“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。

一提到组合，势必需要严格的控制。

所以实行严格的管理对网络安全是非常必要的。

在对等网模式下，任何一台电脑只要接入网络，其他机器就都可以访问共享资源，如共享上网等。

尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。

在由Windows 9x构成的对等网中，数据的传输是非常不安全的。

不过在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。

域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。

外部信任关系实验中域控的操作系统均为windows server 2008 R2 Enterprise。

域和林的级别均为windows 2003，或者以上。

两个林，一个林根域为，一个林根域为int.internal。

域的DNS服务器FQDN为：，IP为：192.168.1.10，DNS指向自己127.0.0.1。

int.internal域的DNS服务器FQDN为：WINDC.int.internal。

IP 为：192.168.1.100，DNS指向自己127.0.0.1或者192.168.1.100建立域信任int.internal域，即中的资源可以共享给int.interanl域成员查看，即在域的文件夹属性——安全选项中可以添加int.intnal域的成员，而Int.internal域文件夹属性——安全选项中不可以添加域成员在这里是信任域Int.internal是被信任域建立域的信任关系，首先要使对方的DNS能解析本地的DNS，方法有很多，如在对方的DNS上建立本地域的辅助DNS，也可以使用条件转发器。

在这里我们使用条件转发器。

在真实生产环境中两个林或域之间不能通信，分属不同的公司，对于两个林或域之间的通信，可请网络管理员设置路由信息。

一、建立DNS条件转发器在这里DNS区域和AD目录集成在一起。

打开域的一台域控，在管理工具中打开DNS管理器，在左侧找到“条件转发器”，右击新建条件转发器，在弹出的对话框中输入要转发解析的对方DNS域名，这里输入被信任域“int.internal”和对方的DNS服务器的IP:192.168.1.100，点击确定，条件转发器建立成功。

真实环境中解析对方时间要长一些。

如下图：在int.internal域的DNS服务器上设置也如此步骤，在条件转发器上输入域和DNS的IP:192.168.1.10，这里不再贴图。

二、建立信任在域的一台域控上打开“Active Directory域和信任关系”，右击“”选择“属性”——“信任”选项卡，点击左下方的“新建信任”弹出“新建信任向导”对话框，如下图：上图点击下一步，在出现对话框中输入要信任的域即被信任域int.internal，点击下一步，选择“外部信任”，外部信任是林内的域需要与不属于该林的其他域之间创建信任关系，不同于快捷信任关系，快捷信任关系是指林内的任何域信任其他林内的任何域的林信任关系。

windows域域的含义域英文叫DOMAIN——域(Domain)是Windows网络中独立运行的单位，域之间相互访问则需要建立信任关系(即Trust Relation)。

信任关系是连接在域与域之间的桥梁。

当一个域与其他域建立了信任关系后，2个域之间不但可以按需要相互进行管理，还可以跨网分配文件和打印机等设备资源，使不同的域之间实现网络资源的共享与管理。

域既是Windows 网络操作系统的逻辑组织单元，也是Internet的逻辑组织单元，在Windows 网络操作系统中，域是安全边界。

域管理员只能管理域的内部，除非其他的域显式地赋予他管理权限，他才能够访问或者管理其他的域;每个域都有自己的安全策略，以及它与其他域的安全信任关系。

域的原理其实上可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略，用户登陆也是登陆在本机的，密码是放在本机的数据库来验证的。

而如果你的计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证，也就是说你的账号密码可以在同一域的任何一台计算机登陆. 如果说工作组是“免费的旅店”那么域（Domain）就是“星级的宾馆”；工作组可以随便出出进进，而域则需要严格控制。

“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。

一提到组合，势必需要严格的控制。

所以实行严格的管理对网络安全是非常必要的。

在对等网模式下，任何一台电脑只要接入网络，其他机器就都可以访问共享资源，如共享上网等。

尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。

在由Windows 9x构成的对等网中，数据的传输是非常不安全的。

不过在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。

域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。

简介
信任是两个域之间沟通的桥梁，只要两个域之间相互信任，双方的用户即可访问对方域内的资源或者用对方域的计算机登录。

当建立了信任关系之后，如何来验证信任呢?
方法/步骤
操作步骤如下：
执行【开始】丨【程序】丨【管理工具】丨【Active Directory域和倍任关系】命令，打开【Active Directory域和信任关系】窗口，如图1所示。

图1 【Active Directory域和信任关系】窗口
在控制台树中，右击要验证的信任关系所涉及到的域，执行【属性】命令，弹出【属性】对话框，如图2所示。

图2 【属性】对话框
在【属性】对话框中选择【信任】选项卡，在【受此域信任的域】或【值任此域的域】列表框中选择要验证的信任关系，然后单击【属性】按钮，在弹出的对话框中单击【验证】按钮，如图3所示。

图3 验证信任
本文源自大优网。