<?xml:namespace prefix = o />
 理解域信任关系
     在同一个域内,成员服务器根据Active Directory中的用户账号,可以很容易地把资源分配给域内的用户。但一个域的作用范围毕竟有限,有些企业会用到多个域,那么在多域环境下,我们该如何进行资源的跨域分配呢?也就是说,我们该如何把A域的资源分配给B域的用户呢?一般来说,我们有两种选择,一种是使用镜像账户。也就是说,我们可以在A域和B域内各自创建一个用户名和口令都完全相同的用户账户,然后在B域把资源分配给这个账户后,A域内的镜像账户就可以访问B域内的资源了。
         镜像账户的方法显然不是一个好的选择,至少账户的重复建设就很让管理员头疼。资源跨域分配的主流方法还是创建域信任关系,在两个域之间创建了信任关系后,资源的跨域分配就非常容易了。域信任关系是有方向性的,如果A域信任B域,那么A域的资源可以分配给B域的用户;但B域的资源并不能分配给A域的用户,如果想达到这个目的,需要让B域信任A域才可以。
         如果A域信任了B域,那么A域的域控制器将把B域的用户账号复制到自己的Active Directory中,这样A域内的资源就可以分配给B域的用户了。从这个过程来看,A域信任B域首先需要征得B域的同意,因为A域信任B域需要先从B域索取资源。这点和我们习惯性的理解不同,信任关系的主动权掌握在被信任域手中而不是信任域。
         A域信任B域,意味着A域的资源有分配给B域用户的可能性,但并非必然性!如果不进行资源分配,B域的用户无法获得任何资源!有些朋友误以为只要两个域之间存在信任关系,被信任域的用户就一定可以无条件地获得信任域内的所有资源,这个理解是错误的。我刚工作时在一家港资企业担任网络管理工作,企业的香港公司是一个域,深圳公司也是一个域。有一次我们需要把两家公司的Exchange服务器进行站点连接,这个操作需要两个域建立信任关系,但当时一位老工程师坚决不同意建立信任关系。他的理由是只要建立信任关系,香港公司的资料就全被深圳公司的员工看到了。这个理由很山寨,很明显对域信任关系的理解有些是是而非。我通过一个实验纠正了他的错误概念,事实证明,深圳公司和香港公司建立了域信任关系后,安全性并没有因此降低。
         在NT4的域时代,信任关系是不具有传递性的。也就是说如果A域信任B域,B域信任C域,那么A域和C域没有任何关系。如果信任关系有传递性,那么我们就可以推导出A域是信任C域的。信任关系没有传递性极大地降低了灵活性,你可以想象一下如果70个域都要建立完全信任关系,那么需要多么大的工作量。而且这种牺牲灵活性的做法也没有获得安全上的补偿,因此微软在Win2000发布时,允许在域树和域林内进行信任关系的传递,在Win2003中更是允许在域林之间进行信任关系的传递。
         下篇博文中我们将通过一个实例为大家介绍如何进行信任关系的创建,敬请期待。

理解域信任关系,Active Directory系列之十六相关推荐

  1. 创建Win2003域和Win2008域之间的信任关系,Active Directory系列之十八

    创建Win2003域和Win2008域之间的信任关系 我们在上一篇文章中创建了域信任关系,这个信任关系发生在两个Win2003域之间,而且两个域使用了同一个DNS服务器.今天我们更换一个实验场景,拓扑 ...

  2. 实战域树部署,Active Directory系列之十九

    实战子域部署<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />   ...

  3. 实战操作主机角色转移,Active Directory系列之十

    实战操作主机角色转移 上篇博文中我们介绍了操作主机在Active Directory中的用途,今天我们通过一个实例为大家介绍如何实现操作主机角色的转移,这样如果Active Directory中操作主 ...

  4. 域控制器的强制卸载,Active Directory系列之十四

    域控制器的强制卸载 上篇博文中我们介绍了如何对域控制器进行常规卸载,本文中我们将介绍如何对域控制器进行强制卸载.为什么需要对域控制器进行强制卸载呢?如果域控制器不能和复制伙伴正常通讯,而且更正无望,那 ...

  5. Active Directory系列之十七:实战详解域信任关系

    实战详解域信任关系          上篇博文中我们对域信任关系作了一下概述,本文中我们将通过一个实例为大家介绍如何创建域信任关系.拓扑如下图所示,当前网络中有两个域,一个域是ITET.COM,另一个 ...

  6. 为什么我们需要域?Active Directory系列之一

    为什么需要域? 对很多刚开始钻研微软技术的朋友来说,域是一个让他们感到很头疼的对象.域的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持,很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通 ...

  7. 为什么我们需要域?MS Active Directory系列之一

    对很多刚开始钻研微软技术的朋友来说,域是一个让他们感到很头疼的对象.域的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持,很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active D ...

  8. 前端工程师和设计师必读文章推荐【系列三十六】

    <Web 前端开发精华文章推荐>自2011年6月20号发布第一期以来,历经五年半,总共发布了30多期.今天这篇是2017年第2期(总第36期),希望你能在这里发现有用的资料. 梦想天空专注 ...

  9. IT职场人生系列之十六:入职(新手篇)

    这是IT职场人生系列第十六篇. 本文描述的是入职前半年的工作要点,新手和老手的差别很大,所以分开写. 最近外出培训四天,没来得及面试,回来的时候很看好的一个刚毕业一年的asp.net程序员被人录用了. ...

最新文章

  1. win7安装mysql-8.0.13-winx64
  2. 所谓移动IP是指(58);实现移动IP的关键技术是(59)。【答案】D B
  3. 写 Python 代码不可不知的函数式编程技术
  4. 物联网技术周报第 141 期: 使用 Alexa Voice 和 Raspberry Pi 构建图片识别应用
  5. OpenCV学习资料收集
  6. 腾讯面试:打家劫舍 III
  7. postgres 退出_centos如何退出postges?
  8. python常用时间处理方法
  9. 【jQuery小实例】---2自定义动画
  10. 运用高斯核模型进行最小二乘回归_比特币价格与时间存在关系?一文读懂比特币价值的对数增长模型...
  11. 【招聘(深圳)】迈瑞招.NET 开发Leader和PM
  12. spring(3)高级装配
  13. java 并发_Java并发编程中断机制 so easy
  14. 微分方程求解二(偏微分方程求解)
  15. 小学计算机课评课稿,有关于小学信息技术评课稿范文
  16. HTML无法显示下一页,为何我的浏览器不能直接打开下一页
  17. 康考迪亚大学应用计算机科学,康考迪亚大学专业设置
  18. 不用重启电脑,就可以刷新系统变量
  19. 理解负反馈可以减小输出电阻
  20. 无线投影服务器连接投影仪,投影仪如何实现无线连接投影?

热门文章

  1. Java小工具:TimingTools
  2. Apache多站点设定
  3. 使用blowery.Web.HttpCompress.dll对aspx压缩
  4. 邮件回复功能失效 谁遇到过?
  5. firefox.exe not found problem (VS2005 website)
  6. BCH进入广告行业,将会碰撞出什么样的火花
  7. BCH开发团队BU为什么选择让矿工投票?
  8. 远程访问,文件的压缩,ip地址的设置(9,11,12unit)
  9. 【转】Monkey测试5-运行中停止monkey
  10. Axis2 -POJO