在大型网络中,通常存在多个域,甚至多个林,在具体配置这些域和林之前,先要了解它们之间的默认和可配置的信任关系,以便恰当地配置各级域,以及各个林之间的信任关系。这也是域、林之间安全、有效访问的基础。
1.什么是信任
信任是域或林之间建立的关系,它可使一个域(或林)中的用户由处在另一个域(或林) 中的域控制器来进行验证。Windows NT中的信任关系与Windows 2000和Windows Server 2003操作系统中的信任关系不同。
(1)Windows NT中的信任
在Windows NT 4.0及其以前版本中,信任仅限于两个域之间,而且信任关系是单向和不可传递的。如图5—8所示,指向受信任域的直箭头显示了非传递的、单向信任。
(2)Windows Server 2003和Windows 2000 Server操作系统中的信任
Windows 2000 Server和Windows Server 2003林中的所有信任都是可传递的、双向信任。因此,信任关系中的两个域都是受信任的。如图5—9所示,如果域A信任域B,且域B信任域C,则域C中的用户(授予适当权限时)可以访问域A中的资源。只有Domain Admins 组的成员可以管理信任关系。
2.信任类型
域和域之间的通信是通过信任发生的。信任是为了使一个域中的用户访问另一个域中的资源而必须存在的身份验证管道。使用“Active Directory安装向导"时,天下网络,将会创建两个默认信任,而使用“新建信任向导"或Netdom命令行工具可创建另外4种类型的信任。
(1)默认信任
在默认情况下,当使用“Activ