在一个森林环境中,大家想没想过一个问题,一个域用户不管来自于哪个域,它都可以做两件事:一 是可以不用输密码就可访问森林内任意域的计算机上的共享资源(当然最终能不能访问,要看权限的设置 ,但至少可以直接打开其计算机)。二是可以在任意的计算机上登录到自己的域。为什么会这样呢?这其 实就是“信任关系”所最终决定的。
那么到底什么是信任呢?信任有哪些好处?
我们可以这样来理解:我信任你,那意味着什么呢?其1我的物品(软件资源)你可以随便用,其2我 的车(硬件资源)你随便开。而反之,我能用你的物品吗?不能,因为我信任你,但你并不信任我,所以 我们所说的信任是有方向的。回到我们的森林环境中,如下图所示:
A域信任B域,A域就叫作“信任域”,B域就叫作“被信任域”,这个方向就相 当于从A作一条向B的箭头。那么可以实现什么呢?
1.被信任域帐号(B域用户)可以具有访问信任域(A域)中资源的能力。
2.被信任域(B域用户)中的用户可以在信任域(A域)中的计算机上登录到被信任域。
(一)信任方向:有单向和双向两种
a. 单向分为内传和外传两种
i.内传指指定域信任本地域:在上图中如果在B域上实现,就得做单向内传(中箭了~~)
ii.外传指本地域信任指定域:在上图中如果在A域上实现,就得做单向外传(箭头朝外)
b. 双向:指两个域相互信任,就像两个好朋友。
(二)2003信任的种类:
父子信任:可传递、双向。自动建立,不可删除。
树根信任:可传递、双向。自动建立,不可删除。
快捷信任:可传递,单向或双向
林信任:可传递,单向或双向
外部信任:不可传递,单向或双向(一般在2003域和NT4域之间或两个林的任两个域之间)
领域信任:不可或可传递,单向或双向(一般在windows域或Kerberos V5系统如Unix之间)
时间: 2024-11-08 18:26:40