AD 活动目录域信任关系图解 有 时 候 要 给 学 员 们 讲 解 AD 活 动 目 录 域 信 任 关 系 , 所 以 特 地 写 了 这 篇文 章 来 说 明 信 任 是 在 域 之 间 建 立 的 关 系 。 AD 活 动 目 录 域 信 任 关 系 就 是可 以 使 一 个 域 中 的 用 户 由 其 他 域 中 域 控 制 器 进 行 身 份 验 证 。 一 个 林 中 的 域 之 间 的 所 有 Active Directory 信 任 都 是 双 向 的 、可 传递的 信 任 。 如下图所 示:域 A 信 任 域 B, 且域 B 信 任 域 C, 则域 C 中 的用 户 可 以 访问域 A 中 的 资源(如果这 些用 户 被分配了 适当的 权限). 只有 Domain Admins 组中 的 成员 才能管理信 任 关 系 . 信 任 协议 域 控 制 器 使 用 两种协议之 一 对用 户 和应用 程序进 行 身 份 验 证 :Kerberos version 5 (V5) 协议或 NTLM。 Kerberos V5 协议是 Active Directory 域 中 的 计算机的 默认协议。 如果事务中 的 任 何计算机都 不支持 Kerberos V5 协议, 则使 用 NTLM 协议. 信 任 方 向 单 向 信 任 : 单 向 信 任 是 在 两 个 域 之 间 创 建 的 单 向 身 份 验 证 路 径 。 这 表 示在 域 A 和 域 B 之 间 的 单 向 信 任 中 , 域 A 中 的 用 户 可 以 访 问 域 B 中 的资 源 。 但 是 域 B 中 的 用 户 无 法 访 问 域 A 中 的 资 源 。 单 向 信 任 可 以 是 不可 传 递 信 任 , 也 可 以 是 可 传 递 信 任 , 这 取 决 于 创 建 的 信 任 类 型 。 双 向 信 任 : Active Directory 林 中 的 所 有 域 信 任 都 是 双 向 的 、可 传 递 的信 任 。 创 建 新 的 子 域 时 , 系 统 将 在 新 的 子 域 和 父 域 之 间 自 动 创 建 双 向可 传 递 信 任 。 在 双 向 信 任 中 , 域 A 信 任 域 B, 并 且 域 B 信 任 域 A。 这表 示 可 以 在 两 个 域 之 间 双 向 传 递 身 份 验 证 请 求 。 双 向 关 系 可 以 是 不 可传 递 的 , 也 可 以 是 可 传 递 的 , 这...
