在中">大型企业中,单域模式已经不满足企业的需求。企业往往会根据需要设置多个域来组织企业的网络。此时在多个域之间就涉及到一种信任的关系。域管理员需要对企业内多个域进行管理,就有跨域管理的需求。如下图所示,域Company.com管理员如果要管理下属的B.Conpany.com域,则必须先建立信任关系。否则的话,就无法实现跨域的管理。当然域管理员也可以通过收回信任来提高某个域的安全性等等。可见,在合适的域之间建立恰当的信任,也是域管理中的一个重要内容。
一、 Windows Server 2008在域信任上的改进。
在域信任的管理上,可以说是从Windows Server 2000到Windows Server 2003、再到Windows Server 2008更改的最多的内容之一。在Windows Server 2003之前,需要管理员明确定义两个域之间的信任关系。而且这个信任关系还是单项的。如上图所示,如果在Server2000操作系统中,必须要手工建立两个域之间的信任关系。而且手工建立的时候,域信任的关系是单向的。所以在Windows Server 2003操作系统之前的域信任关系管理是很苦难的,至少是比较复杂的。
不过从2003之后,域信任关系的管理有所改善。特别是到Windows Server 2008版本的操作系统之后,有了很大的完善。在Windows Server 2008中,域之间的信任关系有两种管理方式。一是自动传递。如上图所示,域B.Company.com和域A.company.com是域Company.com的根域。只要这个关系确立好了之后,他们之间的信任关系也就确立了。首先域B.Company.com会与根域建立起互相信任的双向关系。同时因为根域也信任域A.Company.com。由于域的信任是会自动传递的,所以说域B.Company.com与域A.Company.com也是相互信任的。这种自动传递的信任关系,省去了手工配置信任关系的麻烦,简化了日常的管理。二是在一些特殊的情况下,仍然可以通过手工来建立域之间的信任关系。有了这个改进之后,域信任关系的管理就变得相当简单。
二、 进一步了解可传递信任的关系。
在创建了一个子域或者向一个已经存在的域树加入新的域时,域环境会自动创建双向的可传递信任。在理解这个内容的时候,笔者建议网络管理员抓住两个特征,分别为双向的域可传递的。如上图所示,域A.company.com加入到域company.com后,前者就信任后者,同时后者也信任前者。这就是一个双向的信任关系。再者,因为域company.com也信任域B.company.com,所以域A.company.com也同时信任域B. company.com。注意信任关系在传递的时候,也是双向的。也就是说,域B. company.com也是信任域A.company.com的。这种信任关系的传递,最后导致的结果就是在多域环境中,默认情况下各个域之间都是相互信任的。如上图所示,三个域之间都是相互信任的。
这么信任的传递关系可以简化日常的操作。如现在某个用户需要访问另外一个域中的资源,如打印机。那么只需要为其分配恰当的权限即可,而不需要再手工的建立信任关系。有些用户会担心,如果域与域之间是相互信任的,那么会不会影响域环境的安全呢?其实这个担心是多余的。因为用户跨域访问资源时,域与域之间的信任关系只是一个前提条件,而不是一个必要条件。在取得域的信任的同时,域管理员还需要为这个用户分配合适的权限,用户才能够最终访问这个资源。可见,双向的可传递信任关系并不会影响域环境的安全,并不会给其打来不必要的安全隐患。