|
aku1 发表于 2006-6-14 15:55:44 |
信任类型
域和域之间的通讯是通过信任发生的。信任是为了使一个域中的用户访问另一个域中的资源而必须存在的身份验证管道。使用“Active Directory 安装向导”时,将会创建两个默认信任。使用“新建信任向导”或 Netdom 命令行工具可创建另外四种类型的信任。
默认信任
默认情况下,当使用“Active Directory 安装向导”在域树或林根域中添加新域时,系统会自动创建双向的可传递信任。下表中定义了两种默认信任类型。
|
父子 |
可传递 |
双向 |
默认情况下,当现有域树中添加新的子域时,将建立一个新的父子信任。来自从属域的身份验证请求将通过其父项向上传递到信任域中。有关新建子域的信息,请参阅新建子域。 |
|
树根 |
可传递 |
双向 |
默认情况下,当现有林中创建新的域树时,将建立一个新的树根信任。有关新建域树的信息,请参阅新建域树。 |
其他信任
使用“新建信任向导”或 Netdom 命令行工具可创建另外四种类型的信任:外部、领域、林和快捷信任。下表中定义了这些信任。
|
外部 |
不可传递 |
单向或双向 |
使用外部信任可访问 Windows NT 4.0 域中的资源,或单独(未经林信任连接)的林内某个域中的资源。详细信息,请参阅何时创建外部信任。 |
|
领域 |
可传递或不可传递 |
单向或双向 |
使用领域信任可建立非 Windows Kerberos 领域和 Windows Server 2003 域之间的信任关系。详细信息,请参阅何时创建领域信任。 |
|
林 |
可传递 |
单向或双向 |
使用林信任可在各个林之间共享资源。如果林信任是双向信任,则任一个林中的身份验证请求都可以到达另一个林。详细信息,请参阅何时创建林信任。 |
|
快捷 |
可传递 |
单向或双向 |
使用快捷信任可改善 Windows Server 2003 林内的两个域之间的用户登录时间。当两个域被两个域树分隔开时,这是很有用的。详细信息,请参阅何时创建快捷信任。 |
在创建外部信任、快捷信任、领域信任或林信任时,可以选择单独创建信任的每一方或同时创建信任的双方。
如果选择单独创建信任的每一方,则需要运行两次“新建信任向导”,为每个域运行一次。当使用此方法创建信任时,需要为每个域提供相同的信任密码。作为最佳的安全操作,所有信任密码都应是强密码。详细信息,请参阅强密码。
如果选择同时创建信任的双方,则需要运行一次“新建信任向导”。当选择该选项时,系统将自动为您生成强信任密码。
您需要对在其间创建信任的每个域拥有适当的管理凭据。
还可以使用 Netdom.exe 来创建信任。有关 Netdom 的详细信息,请参阅 Active Directory 支持工具。
有关信任的详细信息,请参阅信任传递性和信任方向。
| 
