首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

操作系统

Windows 9X | Linux&Uinx | Windows Server | 其它操作系统 | Vista | FreeBSD | Windows 7 |
首页 > 操作系统 > Windows Server > Windows Server 2003的信任关系 > 正文

Windows Server 2003的信任关系

出处:大庆油田高级人才培训中心 作者:张东辉 时间:2007-4-3 1:09:20
  企业由于公司兼并,或与业务伙伴的合作,在其网络环境中常常会有两个林或更多。这时建立适当的信任关系将极大地方便用户的访问,而不必去记那么多的用户名和密码了。
  03的信任关系与2000相比,操作界面上有了较大的变化,并增加了林信任关系、选择性身份验证、名称后缀路由等新功能。这些变化再加上林、域功能级别的增强,使得一般的小型网络的网管员(平时极少用到信任关系)更加摸不着头脑。本文将从信任关系的基础知识、2000的信任关系开始介绍,由浅入深,重点讨论新增的林信任关系选择性身份验证
  本文包括很多操作、排错细节,建议收藏此文,需要时查询。

一、信任关系基础知识

1、信任关系有什么用?
  域是安全边界,若无信任关系,域用户帐户只能在本域内使用。信任关系在两个域之间架起了一座桥梁,使得域用户帐号可以跨域使用。确切地说就是:信任关系使一个域的DC可以验证其它域的用户,这种身份验证需要信任路径。

2、A域与B域没有信任关系,A域的用户将不能访问B域上的资源
  常见的错误理解:A域与B域没有信任关系,A域上的员工(注意:我没有使用“用户”这个词)将不能访问B域上资源。
  实际上当然是可以访问的,但你必须在随蟮龅验证界面,提供B域上的用户帐号、口令才行(类似于我们访问工作组上的资源,必须提供目标计算机上的用户帐号、口令才行),提供本域的任何帐号都不好使。
  所以这句常见于各种教材的话,应该这样理解:“A域与B域没有信任关系,A域上的员工使用自己在A域的用户帐号,将不能访问B域上的资源”。

3、A域信任B域,信任关系方向表示为:A—>B。这使得B域的员工使用自己在B域的用户帐号(后面为了描述上的方便,还是采用惯例,表示为:B域用户)可以直接访问A域上的资源(当然,用户得具有访问所需的权限才行),而不会弹出身份验证对话框。访问方向表示为:A<—B,我们需要记住的要点:访问方向与信任方向相反

4、要想实现上述信任关系,使B能访问A。应首先在B提出申请,然后在A上批准。与我们的社会生活相类比(下级提出申请,上级领导批准)记住操作要点:在信任关系对话框中(如下图:2000的信任关系对话框)在界面的下框提出申请(在B上操作),在界面的上框进行批准(在A上操作)。(这样不用去记或理解那些绕道人的话了)

 

二、2000中的信任关系

1、父域-子域间的、树根域间的默认、双向、可传递的信任关系,在添加域到林时自动创建信任路径。

2、林内域间的快捷信任关系:手动、单向、可传递,可用建两个单向来实现双向。


 
  如上图,默认:在林内B域的用户可以访问域C、域2上的资源。但为了提高验证、访问的速度,可以手动创建域间的直接连接的快捷信任关系,从而缩短信任路径。

3、与NT4域、其它林的域、Kerberos V5领域间的不可传递的信任关系。需要手动创建,可用建两个单向来实现双向。
【说明】
(1)NT4域上的信任关系都是不可传递的
(2)Kerberos V5领域是指一种与2000/03域相类似的非Windows(如:UNIX)的、使用Kerberos V5协议的安全区。

三、03中的信任关系
 
1、预备知识:域功能级别、林功能级别



  与2000相同之处,下面将不再赘述。我们看一下03新特色:
2、可传递的林信任关系(又名:联合森林)
  (1) 两个林必须都是03林功能级别
  (2) 只能在两个林的林根域之间建立,可单向也可双向。
  (3) 操作权限要求:林管理员,即企业管理员。默认林根域的域管理员即是林管理员。
  (4)传递性是指由林根域向其下的林内各域进行传递,从而使两个林中的所有域之间存在可传递的信任关系。需要注意的是:此信任关系并不会在林之间传递,比如:A林信任B林,B林信任C林,并不能推出:A林信任C林。

3、实施前的DNS准备:以保证两个林能互相找到。
  在两个林的林根域所用的DNS服务器上,互建存根区域是最好的办法。
【说明】即使目标林有多个树、多个域,有多台DNS,只要目标林原来DNS结构是正确完善的,那么就只在林根域上互建存根区域即可。
  常见错误:“不是由DNS服务器加载的区域,尝试加载区域时DNS服务遇到一个问题。来自主服务器的区域数据复制失败……” 
  解决:在相应的源区域上/右键/属性/“区域复制”标签下,设置允许区域复制即可。

4、创建林信任关系(全林身份验证)
  以A林(林根域为a.com)信任B林(林根域为b.com),即信任关系方向为:A—>B为例:
  (0) 在b.com上(实际上对于03,在哪个林上操作都可以,这里只是为了条理清晰)
  (1) 开始/程序/管理工具/AD域和信任关系
  (2) 在林根域:b.com上/右键/属性/“信任”标签下,单击“新建信任”,弹出向导
  (3) 信任名称,输入:a.com
  (4) 信任类型,选择“林信任”(说明:林信任外部信任的不同之处就在于具有可传递性,使得林内的用户可以在另一林中的任何域中得到身份验证)
  (5) 信任方向,按照我们前面假设的场景,应选择:“单向:内传”
  (6) 信任方,这里提供两个选项“只是这个域”、“这个域和指定的域”。选择前者,回头需要在A上再做一遍“批准”操作;若选择后者,接下来输入A林中林管理员的身份,可以一次就完成了。在这我们选择后者“这个域和指定的域”。
  (7) 用户名和密码,输入A林的林管理员用户名和密码
  (8) 传出信任身份验证级别——指定林,这里我们选择“全林身份验证”,关于“选择性身份验证”等一下将专门讨论。
  (9) 选择信任完毕,下一步
  (10) 信任创建完毕,下一步
  (11) 确认传入信任,选择“是,确认传入信任”来验证一下唇ǖ男湃喂叵礬n  (12) 路由名称后缀——本地林,默认选中B林中所有的名称后缀(林根的、另一树的),下一步
  (13) 完成。
  至此林信任关系创建完成,B林中的员工使用自己在B林中的用户帐户就可以直接访问A林中的资源,而不会弹出验证对话框。
  但要注意的是:要想真能访问,还需要在A林的具体资源上设置B林用户/组的权限才行。具体:在A林的具体资源/右键/属性/安全/添加/位置,选择B林(由于此时已经完成了林信任关系的创建,所以此时可以看到B林了),输入用户/组名(或点高级/立即查找后选择),确定。要求输入网络密码,输入对B林AD有读权的一个普通帐号即可,不必非得B的林管理员。
  另外,明白了单向的信任关系的创建,双向的就更简单了不再赘述。

四.创建林信任关系(选择性身份验证)

  我先来看一个微软的案例:企业B收购兼并了企业A,这样新企业中就有了两个林:a.com和b.com,要求利用信任关系实现:
  (1)b.com林的用户可访问a.com林上的所有资源,
  (2)而a.com林的用户只可访问b.com林上的部分(某台服务器或某个域)资源。

  实现要求(1),利用我们前面的步骤4:创建林信任关系(全林身份验证)即可;要想实现要求2,就得用到林信任关系的选择性身份验证了。具体如下:
1、参照前面的步骤4,在a.com上创建信任,过程中选择“选择性身份验证”即可。
  【说明】在信任关系/属性/“身份验证”标签下的身份验证级别是可修改的。利用这一点,我们可简化此案例的解决步骤:先创建双向、全林身份验证的林信任关系,再在b.com上(上框、下框操作均可以,实际是同一内容),将对A的信任关系上由“全林身份验证”改为“选择性身份验证”。以上步骤甚至可以在向导中一次全部完成,但建议初学者最好按步骤分解执行,以利于对知识点的理解。

2、在B林的具体资源(想允许A林用户访问的部分资源)上,设置相应的访问权限。

  至此A林用户仍不能访问B林上的允许其访问的那部分资源(虽然已设置了相应权限),否则“选择性身份验证”与“全林身份验证”就没有什么不同了。此时访问的出错提示为: 



  接下来的内容,是我们讨论的重点,这部分内容无论是联机帮助,还是微软的技术文档都未做详细介绍。

3、基于计算机帐号设置“允许身份验证”权利。
(1)在B林上,开始/程序/管理工具/AD用户和计算机
(2)选中“查看”标签下的“高级功能”
(3)在Computers容器或具体OU下,找到要允许A林用户访问的那台计算机帐号
(4)右键/属性,在“安全”标签下,添加/位置,选择A林(由于此时已经完成了林信任关系的创建,所以可以看到A林)
(5)输入用户/组名(或点高级/立即查找后选择),确定。要求输入网络密码,输入对A林AD有读权的一个普通帐号即可,不必非得A的林管理员。
  【说明】
  I、可根据需要,选择A林中各域的用户或组,某一域的所有用户可利用Domain Users组。
  II、Win03系统在此处的BUG问题
  假设A林情况如下:林根域a.com,子域sub.a.com、sub2.a.com,另一树根域tree.com。比如同时添加此四个域的Domain Users(或其它用户/组),则会在“安全”标签的“组和用户名称”框中标识不清,显示为:
Domain Users (A\Domain Users),大写A表示林根域,很稳定。
Domain Users (a\Domain Users)
Domain Users (a\Domain Users)
Domain Users (a\Domain Users),这项有时能标识清楚,为:Domain Users (TREE\Domain Users)。但嗍焙蚝颓傲较钜谎谷朔植磺逵没?组是哪个域的,只能去试。这时如果还有其它故障,那对管理员排错来讲,就会非常麻烦。
但大家也不必过于担心,只要你设对了,系统本身能将其识别清楚的。
  III、常见问题:当添加A林中另一树(如tree.com)下的域用户/组时,提示:tree.com的域控制器不可用(如下图)。

 

  产生原因:在创建信任完成时,若选择“否,不确认传出(或传入)信任”,则在名称后缀路由中仅启用林根域*.a.com的路由,树根域*.tree.com的路由默认禁用。
解决:在信任关系/属性/“名称后缀路由”标签下,启用*.tree.com的路由即可。

 (6)添加的A林用户或组将出现在列表中,设置其“允许身份验证”权利,确定。

  那么到这里,A林中的用户就可以访问B林上的允许其访问的某台服务器上的资源了。
  但假如A林用户需要访问B林中的多台服务器,甚至B林中某一域的所有计算机上的资源,那么该怎么办呢?微软不会让我们逐台去设吧!经过研究发现,我们其实可以基于OU或域来设置“允许身份验证”这项权利。

5、基于OU或域设置“允许身份验证”权利。
(1)开始/程序/管理工具/AD用户和计算机
(2)选中“查看”标签下的“高级功能”
(3)在相应的OU或域上右键/属性,在“安全”标签下,添加/位置,选择A林
(4)输入用户/组名(或点高级/立即查找后选择),确定。要求输入网络密码,输入对A林AD有读权的一个普通帐号即可,不必非得A的林管理员。
(5)添加的A林用户或组将出现在列表中(注意:此时直接设置“允许身份验证”权利,你是找不到这项权限的,接下来的操作步骤是关键)
(6)点“安全”标签上的“高级”
(7)“权限”标签上,保证光标在A的林用户或组上,点“编辑”
(8)对“对象”标签,“应用到”下拉框中选择“计算机对象”(9)选中“允许身份验证”权利即可,确定。

【最后的说明】实验中发现,建立林信任关系后,再在林中添加域。要想使新的域也获得传递的林信任关系,需要重新建立林信任关系。
相关文章 热门文章
  • 微软宣布已售出4亿份Windows 7许可
  • Outlook 2003与Exchange 2010结合使用中可能出现的问题及建议的解决方法
  • Lync Server 2010部署攻略之域管理员启用
  • Lync Server 2010部署攻略之服务器部署篇
  • Lync Server 2010部署攻略之标准版部署体验
  • Lync Server 2010部署攻略之规划准备篇
  • 在配置完 Exchange Server 2010 CAS Array后需要做的两件事
  • Powercfg 从命令行控制系统的电源管理
  • windows NT 4.0 Domain升级到windows server 2008 R2需要注意的几个问题
  • windows 7使用GPO统一桌面黑屏
  • Exchange Server 2010与RMS集成
  • Exchange Server 2010 跨组织移动邮箱
  • “http 500内部服务器错误”的解决方法
  • 利用Windows 2000 Server的RRAS实现VPN服务器
  • 用凤凰万能启动盘解决本地/域管理员密码丢失
  • Win2003 Server企业版安装配置
  • Active directory 灾难恢复
  • Windows 2000/03域和活动目录
  • 如何在vmware4上创建windows 2003群集
  • MSI文件制作全过程
  • Win2000命令全集(一)
  • Windows 2000/AD技巧
  • 此系统的本地策略不允许您采用交互式登录解决方法
  • Win2000路由的安装与设置实现不同网段互通
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号