同一网段怎么建立信任域?
同一网段中,怎么建立两个域的信任关系? 以下文章可参考。Windows域间信任关系的有效管理
--------------------------------------------------------------------------------
---- 域(Domain)是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后,2个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理。
---- 而Windows的用户/组分为全局用户/组与本地用户/组。本地用户/组只能在自己的域中活动,而全局用户/组可以通过信任关系到其他域活动。因此,在域之间建立的信任关系只对全局用户/组有效。
---- Windows的用户/组跨域进行访问还存在一些例外。例如,在不同的域中,只要登录系统所使用的用户名及密码与另一域中或另一计算机中已经存在(即使当前未使用其登录系统)的用户名及密码相同,此用户无需建立信任关系就可以获取对方用户的权限,直接访问另一域的域控制器或者另一计算机。笔者认为,这一例外是在基于域进行安全管理时应当特别注意的。
---- 综合系统环境和管理效率等方面的因素,通常一个大规模Windows网络中会建立多个域,那么在多个域之间如何建立信任关系是很多人关心的话题。作者对此进行实践并总结经验,在此详细为大家介绍如何在3种配置情况下为Windows域建立信任关系的具体步骤与方法。
一、Windows NT 4.0域之间建立信任关系
---- 假设我们已经建立了Windows NT 4.0 Server系统的2个域,分别为Domain1和Domain2,如果我们只需要让Domain2域的用户访问Domain1域的资源,设置方法如下。
---- 首先,选择“开始”*“程序”*“管理工具”*“域用户管理器”,打开Domain2“域用户管理器”主界面。然后在“域用户管理器”主界面中,选择“规则”*“委托关系”,打开“委托关系”对话框(如图1所示),点击“信任域”选项旁边的“添加”按钮,弹出的“添加信任域”对话框(如图2所示),在“信任域”文本框中输入“Domain1”,在“初始密码”和“确认密码”选项中输入相同密码。
---- 下一步就是要在Domain1的主域控制器的“域用户管理器”添加委托关系。方法同上,但需要注意的是,在“添加信任域”对话框中,点击“受托域”选项旁边的“添加”按钮,在弹出的“添加信任域”对话框的“域”文本框中输入“Domain2”,在“密码”选项中填入上一步在Domain2的域控制器上设置的密码,单击“确定”按钮后系统会弹出内容为“与Domain2的委托关系已成功创建”的对话框。此时,Domain2的用户就可以访问Domain1的资源了。
---- 如果还需要使Domain1的用户访问Domain2的资源,只需要将上述过程中主域控制器的角色进行一下调换,并重复上述过程即可。
---- 注意:如果2个域的主域控制器放置的位置相距较远,又需要建立2个域之间的双向信任关系,可以先将一端主域控制器的“受托域”和“信任域”选项内容同时填上,再将另一端域控制器的“受托域”和“信任域”选项内容同时填上。一段时间后,主域控制器之间会自动同步信任关系,2个域的用户就可以相互访问了。
二、Windows 2000域之间建立信任关系
---- Windows 2000 Server系统引入活动目录(Active Directory)替代了Windows NT 4.0 Server中的域用户管理器,活动目录的功能要比域用户管理器的功能强大很多。同时,活动目录使用了域树(Domain Tree)和域林(Domain Forest)的概念,下面先向大家解释域树和域林的概念。
---- 域树: 它是由一个以上的Windows 2000域所组成的层次式排列,但这些域需要分享一个连续的名称空间(如图3所示)。图3中每个域之间可自动由系统建立双向可传递的信任关系。
---- 域林: 是由一个以上互不相连的名称空间的域树所组成的层次排列(如图4所示)。在图4所示的域林中,每个域树内的根域之间(例如sast.edu.cn和sos.edu.cn之间)也会自动建立双向可传递的信任关系。
---- 从上面的介绍我们可以看出,Windows域树或域林内的域之间无需再手动建立信任关系就可互相访问。而我们下面介绍的是为不在同一域树也不在同一域林内的域之间建立域间信任关系的方法。
---- 假设我们已经建立了Windows 2000系统的2个域,分别为Sast1.edu(域控制器的IP地址为192.168.1.1,子网掩码为255.255.252.0)和Group2.net(域控制器的IP地址为192.168.2.1,子网掩码为255.255.252.0),并且这2个域都将DNS设置在各自的域控制器上。
---- Windows 2000 Server为了使活动目录充分融入Internet与Intranet环境,将活动目录与DNS进行了高度的集成。基于这一特性,请大家注意: 在活动目录中设置信任关系,首先要将双方域控制器的IP地址的DNS设置完毕,这是利用TCP/IP协议在Windows 2000域之间建立信任关系的关键。
---- 我们将Sast1.edu域的域控制器的IP地址的“首选DNS服务器”地址设置为192.168.2.1,“备用DNS服务器”地址设置为192.168.1.1; 然后把Group2.net域的域控制器IP的“首选DNS服务器”地址设置为192.168.1.1,“备用DNS服务器”地址设置为192.168.2.1。
---- 如果要使Group2.net域的用户能够访问Sast1.edu域的资源,如何进行操作呢?首先,在Sast1.edu域控制器中,选择“开始”*“程序”*“管理工具”*“Active Directory域和信任关系”,在“Active Directory域和信任关系”主界面中,选择“树”选项卡,右击“Sast1.edu”项目,在快捷菜单中选择“属性”*“信任”,在“Sast1.edu属性”对话框中,选择“信任”选项卡(如图5所示),点击“受此域信任的域”项目中的“添加”按钮,系统弹出“添加受信任域”对话框,在“受信任域”文本框中输入“Group2.net”,在“密码”和“确认密码”文本框中输入相同的密码,点击“确定”按钮后系统弹出“Active Directory”提示对话框(如图6所示)。注意: 如此处系统提示错误,请重新启动这2个域控制器的DNS服务,然后重复上述步骤即可。最后,点击“确定”按钮完成设置。
---- 然后,将Group2.net域控制器的“Active Directory域和信任关系”展开,并打开“Group2.net属性”对话框,在“信任”选项卡中点击“信任此域的域”项目的“添加”按钮,在“添加信任域”对话框中的“添加信任域”文本框中输入“Sast1.edu”,在“密码”和“确认密码”文本框中输入上一步在Sast1.edu域控制器上设置的密码,然后点击“确定”按钮。这时系统会弹出一个要求我们验证这个新的信任域的对话框,在点击“确认”按钮后,继续按提示输入一个具有更改Sast1.edu域信任关系权限的账户和密码(注意: 在这里输入Sast1.edu域管理员的账户和密码即可),接下来系统就会弹出“已经将信任的域添加并且验证了信任”对话框。点击“确定”按钮后,Group2.net域中的用户即可访问Sast1.edu域中的资源了。
---- 如果需要使Sast1.edu中的用户能够访问Group2.net的资源,只要将上述操作中域控制器角色进行一下调换,并重复上述步骤即可。
---- 在信任关系建立以后,可以改变各域控制器IP地址的DNS配置,而这一改变不会影响已经建立的域之间的信任关系。
---- 根据作者的经验,如果各域之间使用NETBUI协议进行通讯,无需进行各域控制器IP地址的DNS设置,可以直接建立域信任关系。但在输入域的名称时,需要输入域的NetBIOS名称(通常系统默认其为域的DNS全名去掉后缀,例如DNS全名为Group2.net的NetBIOS名称为Group2),这是利用NetBIOS协议在Windows 2000域之间建立信任关系的重要环节。考虑到NETBUI协议的安全性较差,您可以在信任关系建立后将其删除,使用其他协议是不会影响到域之间的访问的。
三、在Windows NT 4.0域与Windows 2000域之间建立信任关系
---- 因为Windows NT 4.0的“域用户管理器”与Windows 2000的“活动目录”工作原理上存在较大的差别,所以在他们之间建立信任关系时,一般采用NETBUI协议。
---- 我们首先在Windows NT 4.0主域控制器中,选择“域用户管理器”*“规则”*“委托关系”,在“信任域”文本框中输入Windows 2000域的NetBIOS名称。点击“确定”按钮后,打开Windows 2000域控制器的“Active Directory域和信任关系”主界面,在Windows 2000域名称的“属性”对话框中选择“信任”选项卡,在“受此域信任的域”项目中点击“添加”按钮,在“添加受信任域”对话框中输入Windows NT 4.0域的名称,并点击“确定”按钮。然后在Windows NT 4.0主域控制器的“受托域”中输入Windows 2000域控制器的NetBIOS名称,点击“确定”按钮后,Windows NT 4.0的域用户就可以访问Windows 2000域资源了。
---- 此时,在Windows 2000域控制器的“信任此域的域”对话框中添加Windows NT 4.0域的名称,点击“确定”后,Windows 2000域的用户就能够访问Windows NT 4.0域的资源了。
四、总结
---- 在信任关系中,域扮演着2种角色,即信任和被信任。域的信任关系有以下几种类型:
---- 1.单向信任关系 如果域A信任域B且域B未信任域A则称之为单向信任。在Windows 2000系统中域A信任域B,域B中的全局用户/组可以访问域A中的资源,但域A的用户却无权访问域B的资源。而在Windows NT 4.0系统中,域A信任域B,域A中的全局用户/组可以访问域B中的资源,但域B的用户却无权访问域A的资源。所有单向信任关系都是不可传递的,而且所有不可传递的信任关系都是单向的。
---- 2.双向信任关系 如果域A信任域B且域B也信任域A则称之为双向信任。Windows 2000树系中的所有的域信任都是可以传递的,可传递的信任永远是双向信任关系。可传递的信任不受信任关系中2个域的限制,在每次建立新的子域时,在父系域及新建子域之间,将自动建立双向可传递的信任关系。可传递的信任关系会通过所形成的域树向上传递,然后在域树目录中的所有域之间建立可传递信任。
---- 每次在域林中建立新的域树时,在域林的根域与新增域树的根域之间,将会自动建立双向可传递的信任关系。这样一来,可传递的信任关系将通过域林中所有的域。
---- 双向信任在Windows NT 4.0域的信任关系之间并没有递移性,也就是说域A信任域B且域B信任域C,但域A并不会自动信任域C。因此任何2个域间的信任关系都要自行设置。这样,当我们有5个域时就需要设置10条双向信任关系。可以想象,当Windows NT 4.0的域数量不断增加时,是很难维护这些信任关系的,以此我们可以看出Windows 2000的活动目录在域的管理上的确给我们带来了很多方便。 谢谢,我回去研究下。
页:
[1]
