实例讲解活动目录域信任关系

最新推荐文章于 2022-06-14 15:32:41 发布
最新推荐文章于 2022-06-14 15:32:41 发布
阅读量499 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34356138/article/details/85092875
版权

    信任是在域之间建立的关系,可以使一个域中的用户由其他域中域控制器进行身份验证。 

    一个林中的域之间的所有 Active Directory 信任都是双向的、可传递的信任。如下图所示:域 A 信任域 B,且域 B 信任域 C,则域 C 中的用户可以访问域 A 中的资源(如果这些用户被分配了适当的权限).

    只有 Domain Admins 组中的成员才能管理信任关系.

113632523.png


信任协议

     域控制器使用两种协议之一对用户和应用程序进行身份验证:Kerberos version 5 (V5) 协议或 NTLM。Kerberos V5 协议是 Active Directory 域中的计算机的默认协议。如果事务中的任何计算机都不支持 Kerberos V5 协议,则使用 NTLM 协议.


信任方向


    单向信任:单向信任是在两个域之间创建的单向身份验证路径。这表示在域 A 和域 B 之间的单向信任中,域 A 中的用户可以访问域 B 中的资源。但是域 B 中的用户无法访问域 A 中的资源。单向信任可以是不可传递信任,也可以是可传递信任,这取决于创建的信任类型。


    双向信任:Active Directory 林中的所有域信任都是双向的、可传递的信任。创建新的子域时,系统将在新的子域和父域之间自动创建双向可传递信任。在双向信任中,域 A 信任域 B,并且域 B 信任域 A。这表示可以在两个域之间双向传递身份验证请求。双向关系可以是不可传递的,也可以是可传递的,这取决于所创建的信任类型。


信任类型

    包括外部信任(不可传递)、快捷方式信任(可传递)、领域信任(可传递或不可传递)、林信任(可传递)。



下面以实例讲解配置两个域之间的信任关系。

 

环境概述:

域A:fengdian.info  DC:pdc1.fengdian.info

域B:example.cn   DC:dc1.example.cn(由于是生产环境所以只能起名example,请谅解)

要求 域A <---> 域B  两个域相互信任,部分用户资源互访。


配置双向信任关系:


登录两台DC中的任一台,这里以登录域A的DC(pdc1.fengdian.info)为例:


开始->运行 输入 domain.msc,打开活动目录域和信任关系控制台:

定位到域名部分,右击"属性",切换到"信任选项卡":


140123697.png

140125511.png

 

【新建信任】,弹出新建信任向导:

可以看到,信任关系有如下几种类型,本域和同林或者异林中的域、本域和NT4.0域、本域和kerberos V5领域、本域和另一个林。

140445917.png

 

信任名称:这里指键入要建立信任关系的域、林或者领域的名称

140447277.png

 

信任类型:外部信任和林信任。

这里选择林信任,林信任使得另一个林中的各个域中的用户都可以在本林中可用域控制器汇总得到身份验证。相对外部信任而言,林信任放开的范围很大,两个林之间。

140449363.png

 

信任方向: 

双向: 域A <---->域B 相互信任,可以互访。

单向(内传): 域A <----  域B,域B为信任域,域A为受信域,A可访问B,B不能访问A。

单向(外传): 域A ---->域B,域A为信任域,域B为受信域,B可访问A,A不可访问B。

140451451.png

 

信任方: 选择"此域和指定的域"

141826390.png

 

要创建域信任关系,至少是domain admins组的权限;

这里输入在要建立信任关系的对方域或者林中有权限的凭证

141828166.png

 

选择"全林性身份验证"

141830425.png

141832380.png

141834952.png

 

新建的信任摘要,可按【上一步】进行更改,检查无误,直接【下一步】

141836112.png

 

创建信任状态:

142421964.png

 

选择"是,传出信任"

142423432.png

 

选择"是,传入信任"

142425472.png

 

确认"传出"和"传入"信任后,双方的信任关系就创建完成了,不需要再登录另一台DC创建彼此信任了。

142754619.png

 

回到"属性" 切换到"信任"选项卡,发现"外向信任"和"内向信任"中都有了对方林或者域的名称。

142756852.png

 

登录另一台DC,查看信任关系:

143118800.png

 

可以看到,信任关系配置完成了,下面进行验证。

 

验证信任关系及资源互访:

 

域A(fengdian.info) 的DC上 ADUC中新建用户fengdian,

域B(example.cn) 的DC上 ADUC中新建用户example,如下图:

144021700.png144023805.png

 

域A的DC执行以下操作:

新建共享目录fengdian,包含子文件fengdian.txt,设置域B的用户example读取权限;

144325526.png

 

域B的DC执行以下操作:

新建共享目录example,包含子文件example.txt,设置域A的用户fengdian读取权限;

 

144158759.png

 

模拟测试资源互访:

 

1.fengdian用户登录主机,并访问 \\dc1.example.cn\example:

144817295.png

144819767.png

 

可以看到,可是顺利打开目录及文件。说明 "域A<---- 域B"  已没有问题。 

如图:

150145300.png

2.example 用户登录主机,并访问 \\pdc1.fengdian.info\fengdian:

145340249.png

145342203.png

 

 

也可以正常访问目录及文件。说明 "域 A ----> 域B" 已没有问题

145344177.png

 

经过测试,可以确认 域A <-----> 域B 信任关系已经形成。

 

通常情况下,测试环境和生产环境更多的是单向信任。这样在创建信任指定信任方向时,只选择单向内传或者单向外传就可以实现了。

 

 

weixin_34356138
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
活动目录信任关系
weixin_33814685的博客
11-09 194
如果你的活动目录中,只有一个森林,一个,那么恭喜你,你的生活将非常愉快,你应该继续保持这样。 但是往往生活并不如意,比如像下面这家公司,有两个独立的部门,每个部门都有自己的、子和命名空间。另外该公司还收购了另一家公司,这家被收购的公司也有自己的森林、和子。 一个里的用户想要访问另一个里的资源,是怎么实现的呢? 活...
活动目录结构和信任关系建立实验
weixin_33898233的博客
03-26 331
信任关系是一种建立在间的关系,它使得一个中的用户可以由另一个中的控制器进行验证。在所有关系中只有两种,即信任关系和被信任关系。在Windows Server 之间可以建立如下信任关系。 传递信任关系。 (1)传递信任关系不受关系中两个的约束,而是经父向上传递给目录树中的下一个。传递信任关系是双向的,关系中的两个相互信任。默认情况下,目...
控制器与客户机之:失去信任关系问题排查
weixin_34341117的博客
10-27 1575
★前面有讲到控制器与客户机之间失去信任关系会导致不能登录为什么不能登录呢?因为该客户机已经脱离中,当然就不能够登录到中★计算机有重名-----或者该计算机被disabled或者被删除DNS----清理果实的资源记录,设置老化时间,开启安全的动态更新DNS开启了安全动态更新,老化时间又过长,在第一台机器开机更新后,注册了一个IP地址,而他关机后,这个IP地址给另外一...
信任建立失败-建立信任关系不能继续,原因是:账户已存在
weixin_34110749的博客
10-06 1329
Technorati Tags: 夏明亮,信任,账户已存在 信任建立失败: 问题描述: A. com和B.com建立(双向)信任关系,过程中失败,提示“建立信任关系不能继续,原因是:账户已存在。” 初步排查: A. 检查网络设置否联通 B. DNS互相解析是否有问题(做DNS转发)。在双方的DC上互相ping名和名的NetBIOS名,如果不同则暂时修改...
中小型AD活动目录设计实例
04-12
中小型AD活动目录设计实例
java创建多级目录文件的实例讲解
08-28
下面小编就为大家分享一篇java创建多级目录文件的实例讲解,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
运算放大器实例讲解.pdf
06-12
本文档是TI出版的运算放大器的实例讲解,涵盖了运放常用的电路实例
HIS的医院数据仓库实例讲解培训课件.ppt
12-19
HIS的医院数据仓库实例讲解的模型构建包括多维数据模型和主题分析。多维数据模型可以将数据组织、汇总到一个由一组维度和度量值所定义的多维结构中,使得用户可以从不同的角度观察分析所关心的事实数据。主题...
java泛型实例讲解代码.rar
03-20
java泛型实例讲解代码
信任关系
谢公子的博客
01-11 5572
信任是为了解决多环境中的跨资源共享问题而诞生的。 信任作为一种机制,允许另一个的用户在通过身份验证后访问本中的资源。同时,信任利用DNS服务器定位两个不同子控制器,如果两个中的控制器都无法找到另一个,那么也就不存在通过信任关系进行跨资源共享了。 信任关系分为单向信任和双向信任: 单向信任是指在两个之间创建单向的信任路径,即在一个方向上是信任流,在另一个方向上是访问流。在受信任信任之间的单向信任中,受信任内的用户或计算机可以访问信任中的资源,但信任内的用户却
理解信任关系,Active Directory系列之十六
weixin_33907511的博客
07-09 119
 理解信任关系      在同一个内,成员服务器根据Active Directory中的用户账号,可以很容易地把资源分配给内的用户。但一个的作用范围毕竟有限,有些企业会用到多个,那么在多环境下,我们该如何进行资源的跨分配呢?也就是说,我们该如何把A的资源分配给B的用户呢?一般来说,我们有两种选择,一种是使用镜像账户。也就是说,我们可以在A和B内各自创建一个用户名和口令都完全...
间访问之外部信任
qq_58606689的博客
08-23 465
前言:在同一个林内,通过自动建立可传递的,双向的信任关系,可以实现所有间的相互信任。但是在不同林之间则不会自动建立信任关系,要实现两个林之间的访问需要手工建立信任关系。 林之间的信任关系又可分为外部信任和林信任 林间信任之外部信任的特点? (1)手动建立:林之间的信任关系需要手动创建。 (2)信任关系不可传递:林间信任关系是不可传递的。 (3)信任方向可分为单向和双向两种。其中单向又分为内传和外传。 (4)两需要同样的信任密码才能成功建立信任关系。 实验操作 完成n02.com访问n03.
外部信任----
m0_60093791的博客
08-23 274
1.将第二台主机成为额外控制器
AD(Active Directory)基础知识
蚁景网安学院
06-14 2167
本文侧重于从不同角度了解Windows Active Directory环境。如从管理员身份配置安全策略的角度、攻击者绕过安全策略的角度、检测攻击者的角度。导致Active Directory受攻击破坏的因素有很多,比如错误的配置、糟糕的维护程序以及管理员犯的其他很多错误。文章涉及基本和高级的概念、环境配置及攻击,内容可能有点长,但是这有助于模拟不同的攻击,模拟和了解红队的攻击行为。...
实战详解信任关系,Active Directory系列之十七
weixin_34242509的博客
07-13 622
 实战详解信任关系            上篇博文中我们对信任关系作了一下概述,本文中我们将通过一个实例为大家介绍如何创建信任关系。拓扑如下图所示,当前网络中有两个,一个是ITET.COM,另一个是HOMEWAY.COM。两个内各有一个控制器,分别是Florence和Firenze,我们让两个使用了同一个DNS服务器。          创建信任关系要注意DNS服务器的设置,...
建立 Windows AD 对 Kerberos 的单向信任(允许使用账号登录Kerberos集群)
Laurence 的技术博客
04-07 4590
文章目录1. 环境说明2. 在AD服务器上添加Kerberos的KDC并信任其Realm3. 配置加密类型4. 在Kerberos端配置对AD的信任5. 修改应用程序的认证配置 这一操作具有广泛的适用场景,例如:在一个启用了Kerberos的大数据集群下,想联通企业的Windows AD服务器,允许企业用户使用账号和密码登入集群或提交作业。注意:典型的应用场景下,我们是不需要配置Kerberos与Windows AD双向互信,因为让Windows AD取信任Kerberos管控集群的那些服务账号没有特别大
window server 林信任关系
weixin_33888907的博客
04-18 378
本文出自 “叶俊生” 博客,请务必保留此出处http://yejunsheng.blog.51cto.com/793131/175814 账号锁定增强:lockoutstatus.exe lockoutstatus {/u:DomainName\UserName l /u:UserName@DomainName} [/?] DomainName 目标NetBIOS...
labview modbus rtu 实例讲解.pdf
最新发布
01-23
这份实例讲解文件是关于如何在LabVIEW中使用Modbus RTU协议的。Modbus RTU是一种串行通信协议,常用于工业控制系统中的设备通讯。这份实例讲解文件包括了如何在LabVIEW中配置Modbus RTU通信模块、如何设置Modbus RTU...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值