Active Directory--域信任关系

Active Directory创建可传递的林信任在实战详解域信任关系中，我们介绍了如何创在两个域之间创建域信任关系。

实战的结果是我们在和之间成功创建了信任关系，达到了预期目的。

但我们打开域控制器上的Active Directory域和信任工具，可以从下图中发现，和之间的信任关系是不可传递的！这个要引起我们的关注。

如果域之间的信任关系是可以传递的，那我们就可以推论只要A信任B，B 信任C，那么A必然信任C。

但是域信任关系如果是不可传递的，那就会导致A 和C之间没有任何信任关系，必须手工创建A和C之间的信任关系。

显然，在多域的条件下，如果域的数量较多，信任关系的不可传递会给我们带来很多效率上的麻烦。

例如我们可以计算一下，如果有20个域，每两个域之间都要创建双向信任关系，那我们就至少要创建20*19/2=190次信任关系，这显然也太啰嗦了！微软对域信任关系的不可传递也给出了相应的解决方法，从Win2000开始，微软推出了域树和域林的概念。

凡是在同一域树内的域，都会自动创建出双向可传递的信任关系。

同一个域林内的域，也会自动创建双向可传递的信任关系。

当微软发布Win2003时，微软又推出了林信任的概念，也就是说可以在两个林之间创建可传递的信任关系，把可传递的信任关系从一个林推广到了多个林。

我们看到这儿时，要回忆一下实战详解域信任关系这篇文章中的拓扑图。

拓扑如下图所示，我们会忽然意识到和就是分别在一个单独的域林内，他们之间是域林间的关系，那我们为什么不能在这两个域之间创建可传递的林信任呢？回忆一下创建信任关系的过程，没有发现可以创建可传递的林信任啊，为什么呢？其实问题很简单，由于可传递的林信任只有Win2003才可以支持，因此我们必须把林功能级别和域功能级别都提升到Win2003，这样才可以使用可传递的林信任这个高级特性。

我们在Florence上为大家介绍如何提升域功能级别和林功能级别，在Florence上打开Active Directory域和信任关系，如下图所示，右键点击，选择“提升域功能级别”。

active directory的概念Active Directory（AD）是由微软开发的一种目录服务。

它是用于在网络环境中管理和组织网络资源的一种基于域的层次结构。

AD的概念可以从以下几个方面进行阐述：1. 域的概念：域是AD中最基本的逻辑结构单元，它是一个安全边界，类似于一个边界防火墙。

域可以包含用户、计算机、组织单位等多种对象，并且提供了集中管理和控制这些对象的能力。

2. 目录服务的概念：目录服务是一种描述和组织网络资源的方式，类似于电话号码簿或黄页。

它提供了一种将网络资源分层和分类的方法，使得用户可以更方便地访问和管理这些资源。

3. 组织单位（OU）的概念：OU是AD中的一个组织单位，它用于将不同类型的对象进行逻辑划分和组织。

通过OU，管理员可以根据需要创建各种组织结构，方便地对其内部的对象进行管理和控制。

4. 权限和访问控制的概念：AD提供了强大的权限和访问控制机制，可以对对象进行细粒度的权限控制。

管理员可以通过AD设置访问规则和策略，限制用户对资源的访问权限，确保安全性和合规性。

5. 多域环境的概念：AD支持多域环境，可以在一个AD林（forest）中创建多个域。

不同域之间可以建立信任关系，使得用户或计算机可以跨域访问资源。

接下来，我们来一步一步回答关于AD的一些常见问题。

Q1：什么是域？域是AD中最基本的逻辑单位，相当于一个边界防火墙。

它提供了集中管理和控制网络资源的能力。

域可以包含用户、组织单位、计算机等多种对象。

域之间可以建立信任关系，使得用户可以跨域访问资源。

Q2：什么是目录服务？目录服务是一种描述和组织网络资源的方式，类似于电话号码簿或黄页。

它提供了将资源分层和分类的方法，方便用户访问和管理这些资源。

Q3：什么是组织单位（OU）？组织单位是AD中的一个组织单元，用于将不同类型的对象进行逻辑划分和组织。

通过OU，管理员可以方便地对其内部的对象进行管理和控制。

Q4：AD如何实现权限和访问控制？AD提供了强大的权限和访问控制机制，可以对对象进行细粒度的权限控制。

信任关系不同域之间要能互访，需要域之间存在信任关系。

信任关系分为可传递信任和非可传递信任。

可传递信任：任何一个域被加入到域目录树后，这个域都会自动信任父域，同时父域也会自动信任这个新域，而且这些信任关系具备双向传递性。

为了解决用户跨域访问资源的问题，可以在域之间引入信任，有了信任关系，域A的用户想要访问B域中的资源，让域B信任域A就行了。

信任关系分为单向和双向，如图所示。

图中①是单向的信任关系，箭头指向被信任的域，即域A信任域B，域A称为信任域，域B被称为被信任域，因此域B的用户可以访问域A中的资源。

图中②是双向的信任关系，域A信任域B的同时域B也信任域A，因此域A的用户可以访问域B的资源，反之亦然。

在域树中，父域和子域的信任关系是双向可传递的，因此域树中的一个域隐含地信任域树中所有的域。

另一种可传递信任不是默认的，可以通过在不同林根域之间建立信任关系来实现，如P53图2-71。

在域之间建立信任关系时，注意信任传递带来的隐含信任，如图2-72。

非可传递信任：非可传递信任的域之间必须通过手动创建信任，才能实现域间资源访问。

可以创建的有：●Server 2003/2008域与NT域●Server 2003/2008域与另一个林中的Server 2003/2008域（当两个林之间没有林信任关系时）●Server 2003/2008域与2000域●Active Directory域与Kerberos V5域操作：为两个域创建信任关系（TrustRelationship.exe）。

在两域间创建信任关系，需要满足能对两域进行解析。

所以首先在DNS服务器上进行区域的创建，并允许区域传送。

参考P55设置信任关系。

通过对域间资源访问进行验证。

Windows域信任关系建立全攻略操作环境：windows 2000的两个独立域 与。

的网段为192.168.0.x， 域管理所在的IP为192.168.0.1，机器名为aa。

的网段为192.168.3.x，域管理所在的IP为192.168.3.1，机器名为bb。

两个域用VPN建立好连接，可互相ping通。

操作目的：建立互相信任的关系。

操作过程：1、建立DNS。

DNS必须使用的，而不能使用公网的，因为要对域进行解析。

由于在和 上的步骤相同，故只以为例。

在192.168.0.1上打开管理工具- DNS- 连接到计算机- 这台计算机。

在其正向搜索区域里新建区域- Active Directory集成的区域，输入，区域文件就叫.dns好了，然后完成。

右击新建的，选择属性- 常规，把允许动态更新改变为是。

然后在正向搜索区域里新建区域- 标准辅助区域，输入，IP地址输入192.168.3.1，然后完成。

右击新建的，选择从主传输。

在反向搜索区域里新建区域- Directory集成的区域，输入网络ID192.168.0，然后完成。

右击新建的192.168.0.x Subnet，选择属性- 常规，把允许动态更新改变为是。

现在的DNS已经建立好了，的也按此建立。

在192.168.0.1上进行测试，注意：DNS的传输可能需要一定的时间，最好在半个小时到一个小时后进行测试。

测试域名解析：ping 正常的为Pinging [192.168.0.1] with 32 bytes of data: Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Ping statistics for 192.168.0.1:Packets: Sent = 4, Received = 4, Lost = 0 ,Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms 这说明域已经解析好，如果ping 也能得到类似的响应，说明的解析也完成。

计算机网络原理 Active Directory 的管理工具在Windows Server 2003中Active Directory 目录服务是Windows 平台的一个核心组件，它提供了管理构成网络环境的身份和关系的方法。

Windows Server 2003使Active Directory 的管理更简单，从而简化了迁移和部署。

Active Directory 管理工具简化了目录服务管理。

用户可以通过标准工具或者Microsoft 管理控制台(MMC)，创建侧重于完成单项管理任务的自定义工具。

也可以将几个工具组合到一个控制台中。

在Windows Server 2003中用户只能从能够访问域的计算机上使用Active Directory 管理工具。

用户可以通过【管理工具】菜单上所提供的“Active Directory 用户和计算机账户”、“Active Directory 域和信任关系”和“Active Directory 站点和服务”三种Active Directory 管理工具。

下面我们来简单了解一下，Active Directory 管理工具中所包括的三种工具。

● Active Directory 用户和计算机账户Active Directory 用户账户和计算机账户代表物理实体，例如，计算机或者人。

用户账户也可用作某些应用程序的专用服务账户。

用户账户和计算机账户（以及组）也称为安全主体。

安全主体是被自动指派了安全标识符（可用于访问域资源）的目录对象。

用户或计算机账户用于：验证用户或者计算机的身份、授权或者拒绝访问域资源、管理其他安全主体和审核使用用户或者计算机账户执行的操作。

● Active Directory 域和信任关系Active Directory 域和信任关系是管理单元为林中的所有域树提供一个图形视图。

使用此工具，管理员可以管理林中的每个域；管理域之间的信任关系；配置每个域的操作模式（例如，纯模式或者混合模式）；并为林配置其他用户主体名称(UPN)后缀。

简述active directory结构
Active Directory（AD）是Windows Server操作系统中的目录服务，用于存储、管理和组织网络对象的信息，例如用户、计算机、打印机和共享文件夹等。

其结构主要包括以下组件：
1. 域：域是AD的基本单位，是一组网络对象的集合，可以将其看作是一个大型的目录数据库。

每个域都有一个域控制器（Domain Controller），负责管理该域的所有活动。

2. 目录树：一个或多个域可以组成一个目录树。

目录树以一个域作为根域，其他域作为子域。

根域控制器管理整个目录树，其他域控制器则管理各自域内的对象。

3. 目录林：一个或多个目录树可以组成一个目录林。

目录林以一个目录树作为根目录树，其他目录树作为子目录树。

根目录树的管理员可以对整个目录林进行管理，而其他目录树的管理员只能管理各自目录树内的对象。

4. 组织单元（OU）：组织单元是一种特殊类型的目录对象，用于将用户和计算机等对象组织成逻辑单元。

OU可以用来表示组织结构、地理位置或安全策略等信息。

5. 信任关系：信任关系是AD中不同域之间的一种关系，允许一个域的用户访问另一个域的对象。

例如，当一个用户从外部网络登录到内部网络时，可以通过信任关系进行身份验证和授权。

以上是Active Directory的基本结构，通过这种结构，管理员可以方便地管理网络中的对象，并确保安全性和可靠性。

active directory基本概念Active Directory（AD）是由Microsoft开发的一种目录服务，用于在网络中管理和组织用户、计算机、打印机等资源。

它提供了一个集中式数据库和认证服务，用于在组织内建立和维护网络中的对象的层次结构。

以下是一些关于Active Directory 的基本概念：1. 目录服务（Directory Service）：• Active Directory 是一个目录服务，其主要作用是存储和组织网络中的对象信息，如用户、计算机、打印机等。

这些对象按照层次结构进行组织，形成一个树状的目录。

2. 域（Domain）：•在Active Directory中，域是一个逻辑上的组，用于组织和管理网络中的对象。

每个域都有一个唯一的域名，域内的对象可以相互共享资源和认证信息。

3. 林（Forest）：•一个林（Forest）是一个包含一个或多个域的集合。

域与域之间可以建立信任关系，形成一个林。

每个林都有一个共享的林根（Forest Root），所有域都共享这个林根。

4. 域控制器（Domain Controller）：•域控制器是运行Active Directory服务的服务器。

每个域至少有一个域控制器，它存储了该域的目录信息，并提供认证和授权服务。

5. 组织单位（Organizational Unit，OU）：•组织单位是用于组织和管理域内对象的容器。

OU可以包含用户、组、计算机等，并可以在OU内应用特定的策略。

6. 组（Group）：•组是一种将用户、计算机等对象集合在一起的方式，以便更轻松地管理这些对象的权限和设置。

7. 用户和计算机账户：• Active Directory存储了用户和计算机的信息，包括登录名、密码、权限等。

用户和计算机账户可以被组织在域内的不同容器中。

8. 域名服务（DNS）：• Active Directory使用DNS来命名和定位域控制器。