企业由于公司兼并,或与业务伙伴的合作,在其网络环境中常常会有两个林或更多。这时建立适当的信任关系将极大地方便用户的访问,而不必去记那么多的用户名和密码了。
03的信任关系与2000相比,操作界面上有了较大的变化,并增加了林信任关系、选择性身份验证、名称后缀路由等新功能。这些变化再加上林、域功能级别的增强,使得一般的小型网络的网管员(平时极少用到信任关系)更加摸不着头脑。本文将从信任关系的基础知识、2000的信任关系开始介绍,由浅入深,重点讨论新增的
林信任关系和
选择性身份验证。
本文包括很多操作、排错细节,建议收藏此文,需要时查询。
一、信任关系基础知识1、信任关系有什么用?
域是安全边界,若无信任关系,域用户帐户只能在本域内使用。信任关系在两个域之间架起了一座桥梁,使得域用户帐号可以跨域使用。确切地说就是:信任关系使一个域的DC可以验证其它域的用户,这种身份验证需要信任路径。
2、A域与B域没有信任关系,A域的用户将不能访问B域上的资源
常见的错误理解:A域与B域没有信任关系,A域上的员工(注意:我没有使用“用户”这个词)将不能访问B域上资源。
实际上当然是可以访问的,但你必须在随蟮龅验证界面,提供B域上的用户帐号、口令才行(类似于我们访问工作组上的资源,必须提供目标计算机上的用户帐号、口令才行),提供本域的任何帐号都不好使。
所以这句常见于各种教材的话,应该这样理解:“A域与B域没有信任关系,A域上的员工使用自己在A域的用户帐号,将不能访问B域上的资源”。
3、A域信任B域,信任关系方向表示为:A—>B。这使得B域的员工使用自己在B域的用户帐号(后面为了描述上的方便,还是采用惯例,表示为:B域用户)可以直接访问A域上的资源(当然,用户得具有访问所需的权限才行),而不会弹出身份验证对话框。访问方向表示为:A<—B,我们需要记住的要点:
访问方向与信任方向相反。
4、要想实现上述信任关系,使B能访问A。应首先在B提出申请,然后在A上批准。与我们的社会生活相类比(下级提出申请,上级领导批准)记住操作要点:在信任关系对话框中(如下图:2000的信任关系对话框)在界面的
下框提出
申请(在B上操作),在界面的
上框进行
批准(在A上操作)。(这样不用去记或理解那些绕道人的话了)
二、2000中的信任关系1、父域-子域间的、树根域间的
默认、双向、可传递的信任关系,在添加域到林时自动创建信任路径。
2、林内域间的快捷信任关系:
手动、单向、可传递,可用建两个单向来实现双向。
如上图,默认:在林内B域的用户可以访问域C、域2上的资源。但为了提高验证、访问的速度,可以手动创建域间的直接连接的快捷信任关系,从而缩短信任路径。
3、与NT4域、其它林的域、Kerberos
V5领域间的不可传递的信任关系。需要手动创建,可用建两个单向来实现双向。
【说明】
(1)NT4域上的信任关系都是不可传递的
(2)Kerberos
V5领域是指一种与2000/03域相类似的非Windows(如:UNIX)的、使用Kerberos
V5协议的安全区。
三、03中的信任关系 1、预备知识:域功能级别、林功能级别
与2000相同之处,下面将不再赘述。我们看一下03新特色:
2、可传递的林信任关系(又名:联合森林)
(1) 两个林必须都是03林功能级别
(2) 只能在两个林的林根域之间建立,可单向也可双向。
(3) 操作权限要求:林管理员,即企业管理员。默认林根域的域管理员即是林管理员。
(4)传递性是指由林根域向其下的林内各域进行传递,从而使两个林中的所有域之间存在可传递的信任关系。需要注意的是:此信任关系并不会在林之间传递,比如:A林信任B林,B林信任C林,并不能推出:A林信任C林。
3、实施前的DNS准备:以保证两个林能互相找到。
在两个林的林根域所用的DNS服务器上,互建存根区域是最好的办法。
【说明】即使目标林有多个树、多个域,有多台DNS,只要目标林原来DNS结构是正确完善的,那么就只在林根域上互建存根区域即可。
常见错误:“不是由DNS服务器加载的区域,尝试加载区域时DNS服务遇到一个问题。来自主服务器的区域数据复制失败……”
解决:在相应的源区域上/右键/属性/“区域复制”标签下,设置允许区域复制即可。
4、创建林信任关系(全林身份验证)
以A林(林根域为a.com)信任B林(林根域为b.com),即信任关系方向为:A—>B为例:
(0) 在b.com上(实际上对于03,在哪个林上操作都可以,这里只是为了条理清晰)
(1) 开始/程序/管理工具/AD域和信任关系
(2) 在林根域:b.com上/右键/属性/“信任”标签下,单击“新建信任”,弹出向导
(3) 信任名称,输入:a.com
(4) 信任类型,选择“林信任”(说明:
林信任与
外部信任的不同之处就在于具有可传递性,使得林内的用户可以在另一林中的任何域中得到身份验证)
(5) 信任方向,按照我们前面假设的场景,应选择:“单向:内传”
(6) 信任方,这里提供两个选项“只是这个域”、“这个域和指定的域”。选择前者,回头需要在A上再做一遍“批准”操作;若选择后者,接下来输入A林中林管理员的身份,可以一次就完成了。在这我们选择后者“这个域和指定的域”。
(7) 用户名和密码,输入A林的林管理员用户名和密码
(8) 传出信任身份验证级别——指定林,这里我们选择“全林身份验证”,
关于“选择性身份验证”等一下将专门讨论。 (9) 选择信任完毕,下一步
(10) 信任创建完毕,下一步
(11) 确认传入信任,选择“是,确认传入信任”来验证一下唇ǖ男湃喂叵礬n
(12) 路由名称后缀——本地林,默认选中B林中所有的名称后缀(林根的、另一树的),下一步
(13) 完成。
至此林信任关系创建完成,B林中的员工使用自己在B林中的用户帐户就可以直接访问A林中的资源,而不会弹出验证对话框。
但要注意的是:要想真能访问,还需要在A林的具体资源上设置B林用户/组的权限才行。具体:在A林的具体资源/右键/属性/安全/添加/位置,选择B林(由于此时已经完成了林信任关系的创建,所以此时可以看到B林了),输入用户/组名(或点高级/立即查找后选择),确定。要求输入网络密码,输入对B林AD有读权的一个普通帐号即可,不必非得B的林管理员。
另外,明白了单向的信任关系的创建,双向的就更简单了不再赘述。
四.创建林信任关系(选择性身份验证) 我先来看一个微软的案例:企业B收购兼并了企业A,这样新企业中就有了两个林:a.com和b.com,要求利用信任关系实现:
(1)b.com林的用户可访问a.com林上的所有资源,
(2)而a.com林的用户只可访问b.com林上的部分(某台服务器或某个域)资源。
实现要求(1),利用我们前面的步骤4:创建林信任关系(全林身份验证)即可;要想实现要求2,就得用到林信任关系的选择性身份验证了。具体如下:
1、参照前面的步骤4,在a.com上创建信任,过程中选择
“选择性身份验证”即可。
【说明】在信任关系/属性/“身份验证”标签下的身份验证级别是可修改的。利用这一点,我们可简化此案例的解决步骤:先创建
双向、全林身份验证的林信任关系,再在b.com上(上框、下框操作均可以,实际是同一内容),将对A的信任关系上由“全林身份验证”改为“选择性身份验证”。以上步骤甚至可以在向导中一次全部完成,但建议初学者最好按步骤分解执行,以利于对知识点的理解。
2、在B林的具体资源(想允许A林用户访问的部分资源)上,设置相应的访问权限。
至此A林用户仍不能访问B林上的允许其访问的那部分资源(虽然已设置了相应权限),否则“选择性身份验证”与“全林身份验证”就没有什么不同了。此时访问的出错提示为:
接下来的内容,是我们讨论的重点,这部分内容无论是联机帮助,还是微软的技术文档都未做详细介绍。3、基于计算机帐号设置“允许身份验证”权利。
(1)在B林上,开始/程序/管理工具/AD用户和计算机
(2)选中“查看”标签下的“高级功能”
(3)在Computers容器或具体OU下,找到要允许A林用户访问的那台计算机帐号
(4)右键/属性,在“安全”标签下,添加/位置,选择A林(由于此时已经完成了林信任关系的创建,所以可以看到A林)
(5)输入用户/组名(或点高级/立即查找后选择),确定。要求输入网络密码,输入对A林AD有读权的一个普通帐号即可,不必非得A的林管理员。
【说明】
I、可根据需要,选择A林中各域的用户或组,某一域的所有用户可利用Domain
Users组。
II、Win03系统在此处的BUG问题
假设A林情况如下:林根域a.com,子域sub.a.com、sub2.a.com,另一树根域tree.com。比如同时添加此四个域的Domain
Users(或其它用户/组),则会在“安全”标签的“组和用户名称”框中标识不清,显示为:
Domain
Users
(A\Domain
Users),大写A表示林根域,很稳定。
Domain
Users
(a\Domain
Users)
Domain
Users
(a\Domain
Users)
Domain
Users
(a\Domain
Users),这项有时能标识清楚,为:Domain
Users
(TREE\Domain
Users)。但嗍焙蚝颓傲较钜谎谷朔植磺逵没?组是哪个域的,只能去试。这时如果还有其它故障,那对管理员排错来讲,就会非常麻烦。
但大家也不必过于担心,只要你设对了,系统本身能将其识别清楚的。
III、常见问题:当添加A林中另一树(如tree.com)下的域用户/组时,提示:tree.com的域控制器不可用(如下图)。
产生原因:在创建信任完成时,若选择“否,不确认传出(或传入)信任”,则在名称后缀路由中仅启用林根域*.a.com的路由,树根域*.tree.com的路由默认禁用。
解决:在信任关系/属性/“名称后缀路由”标签下,启用*.tree.com的路由即可。
(6)添加的A林用户或组将出现在列表中,设置其“允许身份验证”权利,确定。
那么到这里,A林中的用户就可以访问B林上的允许其访问的某台服务器上的资源了。
但假如A林用户需要访问B林中的多台服务器,甚至B林中某一域的所有计算机上的资源,那么该怎么办呢?微软不会让我们逐台去设吧!经过研究发现,我们其实可以基于OU或域来设置“允许身份验证”这项权利。
5、基于OU或域设置“允许身份验证”权利。
(1)开始/程序/管理工具/AD用户和计算机
(2)选中“查看”标签下的“高级功能”
(3)在相应的OU或域上右键/属性,在“安全”标签下,添加/位置,选择A林
(4)输入用户/组名(或点高级/立即查找后选择),确定。要求输入网络密码,输入对A林AD有读权的一个普通帐号即可,不必非得A的林管理员。
(5)添加的A林用户或组将出现在列表中(注意:此时直接设置“允许身份验证”权利,你是找不到这项权限的,接下来的操作步骤是关键)
(6)点“安全”标签上的“高级”
(7)“权限”标签上,保证光标在A的林用户或组上,点“编辑”
(8)
对“对象”标签,“应用到”下拉框中选择“计算机对象”(9)选中“允许身份验证”权利即可,确定。
【最后的说明】实验中发现,建立林信任关系后,再在林中添加域。要想使新的域也获得传递的林信任关系,需要重新建立林信任关系。