AD活动目录域信任关系图解

AD活动目录域信任关系图解

有时候要给学员们讲解AD活动目录域信任关系，所以特地写了这篇文章来说明信任是在域之间建立的关系。AD活动目录域信任关系就是可以使一个域中的用户由其他域中域控制器进行身份验证。

一个林中的域之间的所有 Active Directory 信任都是双向的、可传递的信任。如下图所示:域 A 信任域 B，且域 B 信任域 C，则域 C 中的用户可以访问域 A 中的资源（如果这些用户被分配了适当的权限）.

只有 Domain Admins 组中的成员才能管理信任关系.

信任协议

域控制器使用两种协议之一对用户和应用程序进行身份验证：Kerberos version 5 (V5) 协议或 NTLM。Kerberos V5 协议

是 Active Directory 域中的计算机的默认协议。如果事务中的任何计算机都不支持 Kerberos V5 协议，则使用 NTLM 协议.

信任方向

单向信任: 单向信任是在两个域之间创建的单向身份验证路径。这表示在域 A 和域 B 之间的单向信任中，域 A 中的用户可以访问域 B 中的资源。但是域 B 中的用户无法访问域 A 中的资源。单向信任可以是不可传递信任，也可以是可传递信任，这取决于创建的信任类型。

双向信任: Active Directory 林中的所有域信任都是双向的、可传递的信任。创建新的子域时，系统将在新的子域和父域之间自动创建双向可传递信任。在双向信任中，域 A 信任域 B，并且域 B 信任域 A。这表示可以在两个域之间双向传递身份验证请求。双向关系可以是不可传递的，也可以是可传递的，这取决于所创建的信任类型。

信任类型

包括外部信任(不可传递)、快捷方式信任(可传递)、领域信任（可传递或不可传递）、林信任(可传递)。

下面以实例讲解配置两个域之间的信任关系。

域A:

域B

要求域A <—> 域B 两个域相互信任，部分用户资源互访。

配置双向信任关系:

登录两台DC中的任一台，这里以登录域A的DC为例:

开始->运行输入 domain.msc，打开活动目录域和信任关系控制台：定位到域名部分，右击”属性”,切换到”信任选项卡”:

【新建信任】，弹出新建信任向导：

可以看到，信任关系有如下几种类型，本域和同林或者异林中的域、本域和NT4.0域、本域和kerberos V5领域、本域和另一个林。

信任名称：这里指键入要建立信任关系的域、林或者领域的名称

信任类型：外部信任和林信任。

这里选择林信任，林信任使得另一个林中的各个域中的用户都可以在本林中可用域控制器汇总得到身份验证。相对外部信任而言，林信任放开的范围很大，两个林之间。

双向：域A <—->域B 相互信任，可以互访。

单向(内传): 域A <—- 域B，域B为信任域，域A为受信域，A可访问B，B不能访问A。

单向(外传): 域A —->域B，域A为信任域，域B为受信域，B可访问A，A不可访问B。

信任方: 选择”此域和指定的域”

要创建域信任关系，至少是domain admins组的权限；

这里输入在要建立信任关系的对方域或者林中有权限的凭证

新建的信任摘要，可按【上一步】进行更改，检查无误，直接【下一步】

确认”传出”和”传入”信任后，双方的信任关系就创建完成了，不需要再登录另一台DC创建彼此信任了。

回到”属性”切换到”信任”选项卡，发现”外向信任”和”内向信任”中都有了对方林或者域的名称。

登录另一台DC，查看信任关系:

可以看到，信任关系配置完成了，下面进行验证。验证信任关系及资源互访:

域A的DC上 ADUC中新建用户

域B 的DC上 ADUC中新建用户，如下图：

新建一个共享目录，设置域B的用户example读取权限；

新建共享目录example，包含子文件example.txt，设置域A的用户fengdian读取权限；

1.fengdian用户登录主机，并访问公共区 :

可以看到，可是顺利打开目录及文件。说明 “域A<—- 域B ” 已没

有问题。

2.example 用户登录主机，并访问 :

也可以正常访问目录及文件。说明“域 A —-> 域B”已没有问题

经过测试，可以确认域A <—–> 域B 信任关系已经形成。

通常情况下，测试环境和生产环境更多的是单向信任。这样在创建信任指定信任方向时，只选择单向内传或者单向外传就可以实现了。