AD 活动目录域信任关系图解 有 时 候 要 给 学 员 们 讲 解 AD 活 动 目 录 域 信 任 关 系 , 所 以 特 地 写 了 这 篇文 章 来 说 明 信 任 是 在 域 之 间 建 立 的 关 系
AD 活 动 目 录 域 信 任 关 系 就 是可 以 使 一 个 域 中 的 用 户 由 其 他 域 中 域 控 制 器 进 行 身 份 验 证
一 个 林 中 的 域 之 间 的 所 有 Active Directory 信 任 都 是 双 向 的 、可 传递的 信 任
如下图所 示:域 A 信 任 域 B, 且域 B 信 任 域 C, 则域 C 中 的用 户 可 以 访问域 A 中 的 资源(如果这 些用 户 被分配了 适当的 权限)
只有 Domain Admins 组中 的 成员 才能管理信 任 关 系
信 任 协议 域 控 制 器 使 用 两种协议之 一 对用 户 和应用 程序进 行 身 份 验 证 :Kerberos version 5 (V5) 协议或 NTLM
Kerberos V5 协议是 Active Directory 域 中 的 计算机的 默认协议
如果事务中 的 任 何计算机都 不支持 Kerberos V5 协议, 则使 用 NTLM 协议
信 任 方 向 单 向 信 任 : 单 向 信 任 是 在 两 个 域 之 间 创 建 的 单 向 身 份 验 证 路 径
这 表 示在 域 A 和 域 B 之 间 的 单 向 信 任 中 , 域 A 中 的 用 户 可 以 访 问 域 B 中 的资 源
但 是 域 B 中 的 用 户 无 法 访 问 域 A 中 的 资 源
单 向 信 任 可 以 是 不可 传 递 信 任 , 也 可 以 是 可 传 递 信 任 , 这 取 决 于 创 建 的 信 任 类 型
