在Windows Server2003中林之间的信任关系分为:外部信任关系和林信任关系,其中林信任是Windows Server2003中所独有的一种信任机制。
如果在两上林中建立外部信任关系,如果A信任B域(A--->B),则B域中的帐户就可以在A域中使用并访问资源(A<---B),而且他们是没有可传递性的,也就是不会将信任传递给下面的子域,那么如果想让信任关系传递给子域那么我们就需要创建林信任关系。
林信任关系的应用场景:
企业由于公司兼并,或与业务伙伴的合作,在其网络环境中常常会有两个林或更多。这时建立适当的信任关系将极大地方便用户的访问,而不必去记那么多的用户名和密码了。
企业由于公司兼并,或与业务伙伴的合作,在其网络环境中常常会有两个林或更多。这时建立适当的信任关系将极大地方便用户的访问,而不必去记那么多的用户名和密码了。
案例:
现有两个公司的将要合并,分别是soft.com和qq.com域,并且均为AD的林根域,现在需要创建soft.com信任qq.com的林信任关系。
现有两个公司的将要合并,分别是soft.com和qq.com域,并且均为AD的林根域,现在需要创建soft.com信任qq.com的林信任关系。
具体操作过程如下所示:
一、配置DNS之间相互转发,并且实现DNS域名之间互相通讯,此项必须操作,否则后过
一、配置DNS之间相互转发,并且实现DNS域名之间互相通讯,此项必须操作,否则后过
程无法继续;
二、提升soft.com和qq.com域和林功能级别;
二、提升soft.com和qq.com域和林功能级别;
soft.com域的模式提升,打开"Acitve Directory域信任关系"如下图所示
Windows Server 2003域级别提升成功,如下图所示.
选择"Windows Server 2003"模式,如下图所示.
选择"确定"继续,提示林或域的模式的提升均为不可逆的,如下图所示
致此,通过上面的操作己经完成了对soft.com的域级别和林级别的提升,用同样的方法对qq.com的域模式及林模式进行提升.
三、在soft.com上面创建林信任关系
在soft.com中创建信任关系,指定要信任的域,如图所示指定被信任的域为qq.com,下图所示
信任类型中选择“林信任”,如图所示
信任方向中选择“单向,外传”,如图所示
在信任方中选择“这个域和指定的域”,如图所示
在下图中输入qq.com域的用户和密码
传出信任身份验证级---林级别中,选择“全林性身份验证”,如下图所示
接下来是选择信任关系完毕和信任创建完毕,如图所示
选择“是,确认传入信任”单选按钮,如图所示
信任关系创建成功,单击“完成”按钮,如下图所示
在soft.com中创建完林信任后,在林中可以看到如图所示,林信任并且具有可传递性,如下图所示
那么在QQ.com域的信任关系中可以看到时信任的成功创建,如图所示
四、最后验证信任关系,如下图所示为在soft.com域的成员登陆的界面中可以看到使用QQ.com域中的帐户登陆。
本文转自 jankie 51CTO博客,原文链接:http://blog.51cto.com/jankie/34067,如需转载请自行联系原作者
