活动目录系列之八：信任（下）

以下是小编为大家收集的活动目录系列之八：信任（下），本文共5篇，希望对大家有所帮助。本文原稿由网友“lachelle”提供。

篇1：活动目录系列之八：信任（下）

各位好！今天我们来学习一下如何在森林之间实现信任，通过活动目录系列之七：信任（上）的学习，我们知道了信任的含义，也知道在森林内部存在两种不可删除的信任：父子信任、树根信任。这就是之 所以我们可以在森林范围内可以无障碍的访问资源和使用资源的原因。但两个不同的森林之间如何能实现 上述的这种情况呢？这就是我们今天的话题。

场景：两个森林，一个是net.com域，有子域 sub.net.com是父子域，一个是blogcn.com域。我们要实现blogcn.com域信任 net.com域，这样net.com域 内的用户可以无需输密码即可访问blogcn.com域的资源，也可以在blogcn.com域内客户机上登录到自己的 域。这种情况常出现在两个公司有合作的时候。上述可以分成两种情况：

1. blogcn.com域和子域 sub.net.com域存在某种信任关系。-->外部信任

2. blogcn.com森林和net.com森林存在某种信 任关系。 ----->林信任

一、blogcn.com域和子域sub.net.com域存在某种信任关系。-->外 部信任

这种信任关系只在指定的这两个域之间存在这种信任关系，不会传递到其它域。我们可以 直接在二者之间做“外部信任”。

假设blogcn.com----->sub.net.com （即前者信 任后者）

完成这种信任后：sub.net.com域内的用户可以在blogcn.com域上登录到自己的域，同时 sub.net.com域内的用户可以无需输密码即可访问blogcn.com域的资源。

操作：

我们直接 在blogcn.com做单向外传（箭头向外），也可以在sub.net.com上做单向内传（箭头向内）。

1. 在两个域的DNS上作DNS转发，相互指向对应的DNSIP即可。此处就不用再赘述了吧。自己做就可以了。

2. 打开blogcn.com域的“AD域和信任关系”，在blogcn.com域上右击选属性，单击 “信任”--新建信任--在信任名称处填写“sub.net.com”，单击下一步，如图所 示：

选 “单向:外传”，在下一步图中选“这个域和指定的域”，继续，输入sub.net.com 域的管理员及密码，再次单击，如下所示汇总信息：

这次做的是外部信任 ，单击下一步，并选择“是，确认传出信任”，创建成功后，如下图所示：

做好后，我们来验证 一下，访问资源和登录问题，

我们在sub.net.com的DC上利用UNC形式访问\\\\n3.blogcn.com，如下图所示：没有输密码就打开了。

登录验证： 把blogcn.com域的DC注销重新登录，会发现sub这个域，选择sub,并输入相应的该域的用户名和密码就可 以登录进去了。当然你如果在blogcn.com域的DC上去验证还要修改相应的策略，总之这个实验我们已经成 功了。

（ 二）blogcn.com森林和net.com森林存在某种信任关系。 ----->林信任

我们这次实现两个森林 相互信任，我们希望任意域的用户都可随意访问任意林任意域的资源等，怎么做呢？下面我们开始。

操作：

1. 首先在两个林的根DNS上做相互的DNS条件转发。此处自己解决吧。

2. 提升两个森林的功能级别全部是林功能级别。如下所示：对于net.com林，可以先提升sub.net.com子 域和net.com域的域功能级别到windows 2003模式，再提升林功能级别是windows 2003。至于如何提升， 不用讲了吧，不会的话请留言。懒得写了。

3. 这次我们在net.com林根上来做。打开domain.msc 后，在net.com上右击--属性如下图所示：

单击信任，你会发现 默认的存在“父子信任”，而且不可删除，可传递的。

“新建信任”--输 入blogcn.com这个域，再次单击下一步，出现如下图所示：

注：如果不提升林功 能级别是不会出现这个提示的。

选择“林信任”，下一步，出现如下图所示：

选择 “双向”，下一步，选择“这个域和指定的域”，下一步，输入blogcn.com域的管 理员和密码，下一步，如下图所示：

为了简单，我们选择 “全林性身份验证”，最后结果总述如下：

后面一定选择“ 是，传出信任”，最后完成后如下图所示：

其实在blogcn.com的 DC上的domain.msc上也可以看到。至于验证就不用了。这样两个森林做到了相互信任，资源访问没有任何 问题了，如果想删除信任关系，直接在上图中选中后，单击“删除”就可以了。

终于 写完了，一边写一边做实验带截图，真有些麻烦。好了，下次再见了。

节目预告：活动目录系列 之九：操作主机

篇2：活动目录系列之七：信任（上）

在一个森林环境中，大家想没想过一个问题，一个域用户不管来自于哪个域，它都可以做两件事：一 是可以不用输密码就可访问森林内任意域的计算机上的共享资源（当然最终能不能访问，要看权限的设置 ，但至少可以直接打开其计算机），二是可以在任意的计算机上登录到自己的域。为什么会这样呢？这其 实就是“信任关系”所最终决定的。

那么到底什么是信任呢？信任有哪些好处？

我们可以这样来理解：我信任你，那意味着什么呢？其1我的物品（软件资源）你可以随便用，其2我 的车（硬件资源）你随便开。而反之，我能用你的物品吗？不能，因为我信任你，但你并不信任我，所以 我们所说的信任是有方向的。回到我们的森林环境中，如下图所示：

A域信任B域，A域就叫作“信任域”，B域就叫作“被信任域”，这个方向就相 当于从A作一条向B的箭头。那么可以实现什么呢？

1.被信任域帐号(B域用户）可以具有访问信任域（A域）中资源的能力。

2.被信任域(B域用户）中的用户可以在信任域（A域）中的计算机上登录到被信任域。

（一）信任方向：有单向和双向两种

a. 单向分为内传和外传两种

i.内传指指定域信任本地域:在上图中如果在B域上实现，就得做单向内传（中箭了~~）

ii.外传指本地域信任指定域:在上图中如果在A域上实现，就得做单向外传（箭头朝外）

b. 双向：指两个域相互信任，就像两个好朋友。

（二）2003信任的种类：

父子信任：可传递、双向。自动建立，不可删除。

树根信任：可传递、双向。自动建立，不可删除。

快捷信任：可传递，单向或双向

林信任：可传递，单向或双向

外部信任：不可传递，单向或双向（一般在2003域和NT4域之间或两个林的任两个域之间）

领域信任：不可或可传递，单向或双向（一般在windows域或Kerberos V5系统如Unix之间）

（三）查看信任关系：

打开DC上的domain.msc（AD域和信任关系），在相应的域上右击--属性，在信任里就能看到具体的该 域信任的域以及被信任的域是什么，

图示就免了吧~~

（四）林中的默认信任关系种类及特点

父子信任：在同一个域树中父域和子域之间

树根信任：在同一个林中的两个域树之间

特点：

a.默认建立，不可删除，可传递。

b.自动建立

林中的域之间的信任关系是在创建子域或者域树时自动创建的

c.传递信任

林中的域的信任关系是可传递的

如域A直接信任域B，域B直接信任域C，则域A信任域C

d.双向信任

在两个域之间有两个方向上的两条信任路径

例如，域A信任域B，域B信任域A

（五）林间的信任关系：

林之间的信任分为外部信任和林信任

外部信任是指在不同林的域之间创建的不可传递的信任

林信任是Windows 2003林根域之间建立的信任

为任一林内的各个域之间提供一种单向或双向的可传递信任关系

（六）林信任的应用场合：

如果两个森林要实现信任的话，只是依靠外部信任则需要在多个域之间创建，如果在两个林根之间创 建林信任就OK了，非常适合于两个企业合并。

（七）林信任的特点及创建注意事项：

a. 要在两个林上分别作DNS转发。

b. 林功能级别为Windows Server 2003才能创建

c. 只有在林根域之间才能创建

d. 在建立林信任的两个林中的每个域之间的信任关系是可传递的

e. 信任方向有单向和双向两种

好了，先写这些吧，下篇我分给大家讲解如何在森林之间实现林信任，而其它信任关系实现类似。

篇3：活动目录系列之五：单域环境的实现（多站点）下优化

通过上次活动目录系列之四：单域环境的实现（多站点）--基..的学习，我们已经完成了跨地区活动 目录环境的实现，基本上也可以充分利用站点的优点，对用户登录和AD数据库的复制进行很好的管理，下 面我描述一个场景，大家看如何解决？

场景：根据上次我们已经完成不同地区单域环境的搭建，在北京/上海/广东分别创建了三个站点，并 在每个站点布置了一台DC（根据公司实际情况也可以放置多台DC），试问，如果上海和广东站点无法联系 北京站点，此时用户登录是否会出问题？

分两种情况分析：

情况一：如果域的功能级别是windows mixed模式，上述案例不用再做任何优化，不会出任何问题 ，

情况二：如果域的功能级别是windows 2000 native模式下，上述案例用户登录会出问题，甚至会出现 登录不了的情况。如何操作，可参考 《再谈域环境下用户不能登录问题！！（缓存故障）》有详细的解 决方式。即如下有两种方法。

法一，分别在上海和广东的站点找一台DC作为GC，默认下北京站点的DC已经是GC了。设置方法如下图 所示：

法二，分别为上海和广东的站点启用“通用组成员关系缓存（来自北京站点），如下图所示：

这样，优化工作就完成了。至于为什么，我会在下篇为大家讲一下有关域用户登录过程！大家就明白 。这里的两篇文章我会在后面陆续推出！！

篇4：活动目录系列之一：基本概念

目录服务可以集中实现组织、管理、控制各种用户、组、计算机、共享文件夹、打印机各种资源等， 使用LDAP（端口389）轻量级目录访问协议工作，在域环境下所有用户及计算机等帐户信息均保存在一个 数据库中，这个数据库位置%systemroot%\\ntds\\ntds.dit。

AD（活动目录）的逻辑结构包含如下组件：域/子域/树/森林/OU等。主要侧重于对网络资源的组织。

AD的物理结构包含如下组件：DC（域控制器）/site（站点）/OM（操作主机）。主要侧重于对网络资 源的配置和优化。

下面介绍有关几个重要的概念：

1.DN：(可辨别名称）--用来表示一个对象在AD中具体存储位置，类似于文件的绝对路径。

如：cn=user1,ou=sails, dc=blog,dc=com 该用户存在blog.com域的sails OU下，用户名为 user1.

cn=users (默认的容器users也以cn表示)

dsadd user cn=test,ou=sails,dc=blog,dc=com 利用DN来创建用户的例子。

2.UPN（用户主名）用户名@域名，即用户登录时可以采用，如jack@net.com，也可以更改此后缀。

修改：domain.msc后，在根右击--属性--更改UPN后缀，然后在用户属性-帐号中选择其后缀。用户登 录可以使用此UPN.但必须在用户属性里进行相应的更改（即启用此Upn后缀）

3.SID (安全标识符）用户/组都有唯一

whoami /user 当前用户的SID

whoami /all 当前用户的详细信息（包含所属组的SID）

getsid \\\\dc1 test \\\\dc1 test (安装suptools)

psgetsid \\\\dc1 test 下载工具包，

4.AD数据库的目录分区：（AD数据库虽然是一个文件，但却是以目录分区的形式组成的）

schema 架构分区 ---森林的对象类和属性，在森林级别复制。

configuration 配置分区--所有DC的位置、site，在森林级别复制。

domain 域分区--每个域的各种对象等信息，在域级别复制。

application 应用程序分区—DNS，可以自定义。

通过adsiedit.msc来查看前三个目录（事先装支持工具）

5.site:在物理位置上区分，一组高速可靠的一个子网或多个子网。（管理AD复制）

优点：

a. 优化登录

b. 优化复制

6.域：安全的边界，复制的单元。

7.操作主机：（OM）--FSMO

森林范围内唯一的有两种：

架构主机：负责森林内架构的统一 regsvr32 schmmgmt.dll

域命名主机：负责森林范围内域的添加和删除。

域范围内唯一的有三种：

RID主机：建用户时用于分发ID号。

PDC主机：时间同步，密码最小化周期、密码锁定、组策略维护等。

基础结构主机：负责跨域对象的引用和更新。

森林范围内唯一两种OM默认由林根域的第一台DC承担。

域范围内唯一的三种OM默认由域内的第一台DC承担。

以上只是一些基本概念的介绍，后期还会以专题的形式和大家一起来学习活动目录！~

篇5：活动目录系列之九：操作主机

今天我们讨论一下有关操作主机的问题，在域环境里，我们不得不考虑活动目录的复制问题，我们知 道大多数DC之间的复制是一种多主复制的机制。而有一些特定的操作必须采用单主机复制，而复制的源就 是操作主机。当然操作主机也是DC，无非有着特殊的功能而矣。

（一）操作主机的角色：

Forest-wide roles：存在于根域DC中

1.Schema master 架构主机

2.Domain naming master域命名主机

Domain-wide roles：每个域中DC会拥有这三种角色

3.PDC emulator PDC仿真主机

4.RID master RID主机

5.Infrastructure master 基础结构主机

（二）操作主机的查看：

架构主机的查看：先运行regsrv32 schmmgmt.dll 后，利用MMC 添加“AD架构”后在根上右击选“操作主机”即可看到。

域命名主机的查 看：打开domain.msc后，在根上右击选“操作主机”即可看到。

域唯一的三种操作主 机的查看：右击“AD用户和计算机”，右击域DD操作主机，可以看到有三个操作主机。

或用命令查看:netdom query fsmo (事先安装支持工具)

（三）操作主机的作用：

1.架构主机：负责森林架构的删除和修改，如何定义AD数据库。比如部属Exchange时需要进行森 林扩展，其实就是对森林的架构进行修改，这个操作必须要能联系上架构主机。

操作权限的用户 必须是schema admins组的成员。

2.域命名主机：如果要新建一个域，由它来检测是否重名。

功能：控制森林内域的添加和删除;添加和删除对外部目录的交叉引用对象。

建议和GC配 置在一台主机上。

操作权限：Enterprise Admins组

3.PDC Emulator：

默认情况 下森林中的GC和每个子域的第一台DC都是PDC Emulator。

功能：

a.模拟Windows NT PDC

b.默认的域主浏览器，如网上邻居的列表。

c.默认的域内权威的时间服务源

d. 统一管理域帐号密码更新、验证及锁定

e.组策略存放地（默认）

4.RID master：

功能：管理域中对象相对标识符（RID）池。

一般RID主机会一次分给域内不同的DC各500个RID号 ，当每个DC用到80%时会向RID主机提出申请。

5. Infrastructure master：

功能：负责对 跨域对象引用进行更新。

比如本地域组中有一个其它域的用户，当这个用户被删除后，由基础结 构主机负责更新这个组的内容，并将其复制到同一个域内的其他DC，

这个更新操作由基础结构主机通过查 询GC来完成。故在多域情况下不能把二者放在一台机器上。否则Infrastructure master不起作用。

单域情况下不需要工作，而在多域情况下不能和GC在一起。

（四）操作主机的布局原则：

考虑和GC的冲突、性能-----所以要更改主机。

a.基础结构主机与GC不放在一起（多域下 ）

b.域命名主机与GC放在一起:如果林功能级别是win2000模式，二者必须在一起，如果是2003模 式，可以分开。

c.架构主机与域命名主机可放在一起

e.PDC模拟主机建议单独放置

注意：

**一般建议：架构主机、域命名主机、GC可以考虑放在一起。

**PDC单独存放。

（五）操作主机角色的转移和占用（图形方式和命令方式）

根据上述的分析，我们有两种 情况需要对操作主机的角色进行更改，一种情况就是为了性能或与GC的冲突考虑，在这种情况下我们要对 操作主机进行转移。第二种情况就是原来操作主机的角色的DC发生的故障，此时我们考虑进行强夺。下面 是当操作主机出现问题时的行为考虑：

a. 当网络中的schema master/domain naming master/RID 三种角色如果存在有故障，则由其它DC来强夺，但如果前者再恢复好，也不要再联机，最好格式化硬盘。

b. 当网络中的PDC、基础结构主机这两种角色出现故障，可以由其它DC强夺，不过当前者恢复好 后，发现角色已被占用，会自动失效，不过可以再转移过来。

具体的操作：

1. 转移：前 提是相应的操作主机的角色在线。

比如转移PDC主机

a. 利用图形方式：

打开PDC这 台DC的dsa.msc，在域上右击--连接到域控制器（选择欲成为PDC角色的DC）如图所示：

再次右击该域--选择操 作主机--找到PDC，如下图所示：

单击更改，即完成的 操作主机的转移工作。至于其它操作主机的转移工作类似操作。不再赘述。

b. 利用命令方式：我 们把操作主机再从n2转到n1，如下操作：

单击“是 ”，即完成的操作主机的转移工作。如上图中如果选择seize...即是强夺操作。其它操作主机的角 色的更改，就不用说了吧。

2. 占用：联系不上相应的操作主机时。（尽可能用命令方式，具体要 求操作如上图所示，无非选择seize行即可。此处略了吧~~~）

（六）建议：

上面五种操作 操作，如果PDC操作主机出问题，要马上解决或进行强夺，架构主机和域命名主机出问题，可以暂不解决 ，先进行原有主机的修复，实在修复不了，再考虑强夺。RID主机出现问题，在域环境相对稳定的情况下 也没有大的影响，也可以先对原有主机进行修复，实现修复不了，再考虑强夺。在单域情况下，不用考虑 基础结构主机。多域下如果坏了，强夺吧。

终于写完了，希望这篇文档能对各位有所帮助。

节目欲告：活动目录系列之十：活动目录的维护

活动目录方案

目录英文翻译

信任的语句

计算机论文范文目录

毕业论文目录格式

活动目录系列之八：信任（下）.doc

将本文的Word文档下载到电脑，方便收藏和打印

推荐度：

点击下载文档