子域和域樹是Windows Server 2008的重要概念，在地理位置分散且用戶數(shù)量較多的大型網(wǎng)絡(luò)中，子域是較好的選擇，域管理員可以授權(quán)子域的管理員獨(dú)立管理所在的域控制器以及關(guān)聯(lián)的服務(wù)，實(shí)現(xiàn)Active Directory的“分層管理、區(qū)域自治”的特點(diǎn)。域樹主要應(yīng)用于同一個(gè)企業(yè)完全不同的業(yè)務(wù)架構(gòu)或者企業(yè)之間兼并的環(huán)境，可以通過林根信任訪問不同域之間的資源。

2.1 基礎(chǔ)知識(shí)

在部署子域和域樹之前，管理員必須理解和明確有關(guān)域的相關(guān)概念以及應(yīng)用范疇，這樣才能更好地理解Active Directory。

2.1.1 單域

單域是指網(wǎng)絡(luò)中只有一個(gè)域。在獨(dú)立域中如果只有一臺(tái)域控制器，不存在信任關(guān)系。用戶登錄到域中，即可訪問域中所有可用的網(wǎng)絡(luò)資源。

單域環(huán)境主要適用規(guī)模較小的網(wǎng)絡(luò)。單域中建議部署兩臺(tái)域控制器，一臺(tái)是域控制器，一臺(tái)是額外域控制器。如果沒有額外域控制器，域控制器崩潰后，域內(nèi)的其他用戶將不能登錄該域。如圖2-1所示。

2.1.2 子域

子域是根據(jù)網(wǎng)絡(luò)規(guī)劃獨(dú)立管理用戶、計(jì)算機(jī)等網(wǎng)絡(luò)資源集合。子域中的管理員可以管理子域中所有的資源，并且在一次登錄子域后可以根據(jù)父子信任關(guān)系訪問父域中的資源。子域環(huán)境主要適用網(wǎng)絡(luò)較大并且地理位置不同的網(wǎng)絡(luò)。例如父域?yàn)锽ook.com，子域則表示為Beijing.book.com，所有以“.book.com”結(jié)尾的域均是book.com的子域，如圖2-2所示。

在同一個(gè)森林中，父子域之間的信任關(guān)系，稱之為父子信任。在默認(rèn)情況下，當(dāng)現(xiàn)有域中添加新子域后，默認(rèn)創(chuàng)建父子信任關(guān)系。父子信任為雙向且可傳遞的信任關(guān)系，如圖2-3所示。Book.com是父域，Beijing.book.com是Book.com域的子域。在使用Active Directory安裝向?qū)嵘蚩刂破鲿r(shí)，默認(rèn)父域和子域之間建立雙向可傳遞的信任關(guān)系。即：Beijing.book.com子域信任book.com父域，Book.com父域信任Beijing.book.com子域。

2.1.3 域樹

域樹是同一個(gè)森林中多個(gè)子域組成的獨(dú)立域，域樹中父子關(guān)系形成層次結(jié)構(gòu)，域樹中的第一個(gè)域稱為根域，多個(gè)子域?qū)⒔M成一顆域樹，如圖2-4 所示。Bookcom是父域，Beijing.book.com和Shenzhen.book.com是Book.com域的子域。

域樹主要適用網(wǎng)絡(luò)規(guī)模大且地理位置十分分散的網(wǎng)絡(luò)。如果不同地理位置的網(wǎng)絡(luò)部署在同一個(gè)域內(nèi)，域中計(jì)算機(jī)之間信息交互（包括同步，復(fù)制等）所花費(fèi)的時(shí)間會(huì)比較長(zhǎng)，而且占用較大的帶寬。子域可以通過子域管理員管理網(wǎng)絡(luò)中的資源，可以達(dá)到“區(qū)域”自治的管理目的，降低父域的管理難度。

域樹基于父子信任關(guān)系創(chuàng)建，因此域樹之間是雙向且可傳遞的信任關(guān)系。用戶在域樹中的任何域中登錄后，即可訪問森林中的共享資源，而不需要在訪問其他域中的資源時(shí)，鍵入用戶名和密碼，如圖2-5所示。

2.1.4 域林

多個(gè)域樹可以組成一個(gè)域林。每棵域樹可以是一個(gè)獨(dú)立的域，也可以是其中幾棵樹組成的域，就好比是樹的分支，樹葉等，如圖2-6所示。

域林主要適用于網(wǎng)絡(luò)之間共存的環(huán)境。當(dāng)企業(yè)出現(xiàn)兼并行為后，因?yàn)槟腹臼褂靡豢糜驑洌娌⒌墓疽灿凶约旱挠驑洌瑒t使用域林。通過建立域樹與域樹之間的信任關(guān)系管理使用整個(gè)域林中的資源，又保持被兼并公司自身原有的體系架構(gòu)。

在同一森林下多棵域樹之間存在域間信任關(guān)系，在部署第2 棵域樹時(shí)，自動(dòng)創(chuàng)建雙向的可傳遞的域樹之間信任關(guān)系。信任關(guān)系為雙向且可傳遞，如圖2-7所示。Daily.com是森林的第2棵域樹，使用Active Directory安裝向?qū)?chuàng)建后，默認(rèn)創(chuàng)建2棵域樹間的雙向可傳遞的樹根信任關(guān)系，即該林下的子域信任第2棵域樹下的子域。

2.2 信任關(guān)系

信任是在域之間建立的關(guān)系，可以使一個(gè)域中的用戶登錄到其他域控制器進(jìn)行身份驗(yàn)證并訪問已經(jīng)授權(quán)的網(wǎng)絡(luò)資源。信任關(guān)系在兩個(gè)域之間架起了一座橋梁，使得域用戶賬號(hào)可以跨域訪問。可以如此理解：信任關(guān)系使一個(gè)域控制器可以驗(yàn)證其他域的用戶。例如A域與B域沒有信任關(guān)系，A域上的用戶只能在本域內(nèi)使用，將不能訪問B域上的資源。

在域間訪問時(shí)，在運(yùn)行對(duì)話框中輸入“\\服務(wù)器名稱”，如果沒有信任關(guān)系，需要輸入目標(biāo)域的用戶名、密碼，只有有效檢測(cè)通過后，才能訪問目標(biāo)域的資源。在沒有建立信任關(guān)系之前，每次訪問時(shí)都需要輸入用戶名和密碼。如果建立信任關(guān)系，則不需要輸入用戶名和密碼，可以直接訪問相關(guān)的資源。也就是說，訪問域的用戶必須具備目標(biāo)域的合法身份才可訪問。信任關(guān)系是用于確保一個(gè)域的用戶可以訪問和使用另一個(gè)域中資源的安全機(jī)制。

2.2.1 信任類型

域和域之間的訪問通過信任完成。服務(wù)器使用“Active Directory安裝向?qū)А碧嵘秊橛蚩刂破鲿r(shí)，根據(jù)創(chuàng)建的域目標(biāo)自動(dòng)創(chuàng)建信任關(guān)系。使用“Active Directory域和信任關(guān)系”管理控制臺(tái)提供的“新建信任向?qū)А被颉癗etdom”命令行工具可創(chuàng)建其他四種類型的信任關(guān)系。

1. 父子信任

父子信任存在于父域和子域之間，當(dāng)使用“Active Directory安裝向?qū)А痹谟驑渲刑砑幼佑驎r(shí)，默認(rèn)創(chuàng)建父子信任。父子信任之間的信任關(guān)系為雙向且可傳遞信任。

2. 樹根信任

樹根信任存在于域樹之間，當(dāng)使用“Active Directory安裝向?qū)А痹谟驑渲刑砑有碌挠驑鋾r(shí)，默認(rèn)創(chuàng)建樹根信任。樹根信任之間的信任關(guān)系為雙向且可傳遞信任。

3. 快捷信任

快捷信任是當(dāng)管理員需要優(yōu)化身份驗(yàn)證過程時(shí)，可以使用的單向或雙向可傳遞信任。身份驗(yàn)證請(qǐng)求必須首先通過域樹之間的信任路徑，在復(fù)雜林中將消耗大量的時(shí)間，而快捷信任可以縮短該時(shí)間。信任路徑是為了傳遞任何兩個(gè)域之間的身份驗(yàn)證請(qǐng)求而必須遍歷的一系列的域信任關(guān)系。快捷信任可以改善兩個(gè)域之間的用戶登錄時(shí)間，提高訪問效率。快捷信任是可傳遞的信任，可選擇單向或雙向的信任關(guān)系，如圖2-8所示。

4. 外部信任

外部信任存在兩個(gè)不同的森林或者兩個(gè)不同的域。部署外部信任林的功能級(jí)別至少為Windows Server 2003模式。外部信任關(guān)系需要使用“新建信任向?qū)А眲?chuàng)建，創(chuàng)建完成的外部信任關(guān)系，是單向或者雙向的不可傳遞的信任關(guān)系，即外部信任關(guān)系不可傳遞。如圖2-9所示。

5. 森林信任

森林信任關(guān)系存在于不同的森林之間。部署外部信任林的功能級(jí)別至少為Windows Server 2003模式。森林信任關(guān)系只能在根域所在的域控制器中部署。森林信任關(guān)系需要使用“新建信任向?qū)А眲?chuàng)建。森林信任關(guān)系是單向或雙向且可傳遞的信任關(guān)系。如果兩個(gè)森林之間建立的是雙向信任關(guān)系，兩個(gè)森林的域之間相互信任。部署森林信任后，在各個(gè)森林之間可以共享資源，如圖2-10所示.

森林信任只能在2個(gè)林之間創(chuàng)建，不能隱式擴(kuò)展到第3個(gè)林。這意味著如果在林book.com和林test.com之間創(chuàng)建了一個(gè)林信任，在林test.com和林daily.com之間也創(chuàng)建了一個(gè)林信任，林book.com和林daily.com之間不存在任何信任關(guān)系，即林之間的信任關(guān)系不可傳遞，如圖2-11所示。

6. 領(lǐng)域信任

使用領(lǐng)域信任可建立非Windows Kerberos領(lǐng)域和Windows Server 2008域之間的信任關(guān)系，領(lǐng)域信任是單向或雙向、可傳遞或不傳遞的信任關(guān)系。

2.2.2 信任方向

信任方向是進(jìn)行身份驗(yàn)證所用的路徑。用戶可以訪問另一個(gè)域中的資源之前，運(yùn)行Windows Server 2008的域控制器上必須確認(rèn)雙方之間是否存在信任關(guān)系。

1. 單向信任

單向信任是兩個(gè)域之間創(chuàng)建的單向驗(yàn)證路徑。表示在域Beijing.book.com和域Shenzhen.book.com之間創(chuàng)建的單向信任中，域Beijing.book.com中的用戶可以訪問域Shenzhen.book.com中的資源，而域Shenzhen.book.com中的用戶不能訪問域Beijing.book.com中的資源。根據(jù)所創(chuàng)建的信任類型，某些單向信任可以是非傳遞信任或可傳遞信任，如圖2-12所示。

2. 雙向信任

Windows Server 2008中使用“Active Directory安裝向?qū)А辈渴鸬乃杏蛑g的關(guān)系，都是雙向且可傳遞信任關(guān)系。創(chuàng)建新的子域時(shí)，雙向可傳遞信任在新的子域和父域之間自動(dòng)建立。在雙向信任中，域Beijing.book.com信任域Shenzhen.book.com，且域Shenzhen.book.com信任域Beijing.book.com，Shenzhen.book.com和Beijing.book.com域內(nèi)的用戶都可訪問對(duì)方域的資源。這意味著身份驗(yàn)證請(qǐng)求可按兩種方向在兩個(gè)域之間傳遞。根據(jù)所創(chuàng)建的信任類型，某些雙向信任可以是非傳遞信任或可傳遞信任，如圖2-13所示。

2.2.3 信任傳遞性

信任傳遞性確定了信任是否可擴(kuò)展到建立信任的兩個(gè)域之外。可傳遞信任用于將信任關(guān)系擴(kuò)展到其他域，而非傳遞信任用于拒絕與其他域之間的信任關(guān)系。

1. 可傳遞信任

每次在林中創(chuàng)建新的域時(shí)，在新域及其父域之間會(huì)自動(dòng)創(chuàng)建雙向的可傳遞信任關(guān)系。如果子域被添加到新的域中，則信任路徑將通過域向上流動(dòng)，從而擴(kuò)展到新域與其父域之間創(chuàng)建的初始信任路徑。可傳遞信任關(guān)系將以域樹形成時(shí)的方向沿域樹向上流動(dòng)，最終在域樹中的所有域之間創(chuàng)建可傳遞信任，如圖2-14所示。在默認(rèn)情況下，Beijing.book.com和book.com之間的信任關(guān)系為雙向且可傳遞，Shenzhen.book.com和book.com之間的信任關(guān)系為雙向且可傳遞，因此Beijing.book.com和Shenzhen.book.com也是雙向可傳遞的信任關(guān)系。當(dāng)對(duì)資源指派適當(dāng)?shù)臋?quán)限后，域Beijing.book.com中的用戶可以訪問域Shenzhen.book.com中的資源，域Shenzhen.book.com中的用戶可以訪問域Beijing.book.com中的資源。

2. 非傳遞信任

非傳遞信任受信任關(guān)系中的兩個(gè)域的約束，并不流向林中的任何其他域。非傳遞信任可以是雙向信任或單向信任。非傳遞信任默認(rèn)為單向信任關(guān)系，支持通過建立兩個(gè)單向信任來建立一個(gè)雙向關(guān)系，如圖2-15所示。Beijing.book.com和Shenzhen.book.com之間具備雙向可傳遞信任關(guān)系，Shenzhen.book.com和Test.com之間具備雙向可傳遞信任關(guān)系，Shenzhen.book.com和Test.com之間是外部信任，Beijing.book.com和test.com之間的信任是非傳遞信任關(guān)系。當(dāng)對(duì)資源指派適當(dāng)?shù)臋?quán)限后，域Beijing.book.com中的用戶不能訪問域Test.com中的資源，域Test.com中的用戶可以訪問域Beijing.book.com中的資源。

2.3 部署子域

子域是Active Directory中重要的管理模式，管理員可以根據(jù)地理位置、業(yè)務(wù)功能等劃分子域。子域的管理員將獨(dú)自管理子域中的資源。同一棵域樹下的子域部署模式相同。

2.3.1 部署子域

部署子域可以使用命令行模式或者角色添加向?qū)Ｊ酵瓿伞Ｔ诓渴鹎埃枰獙⒉渴鹱佑虻姆?wù)器提升為成員服務(wù)器，再由成員服務(wù)器提升為子域控制器。

第1步，以域管理員身份登錄到需要部署子域的服務(wù)器，啟動(dòng)“Active Directory安裝向?qū)А保瑔螕簟跋乱徊健卑粹o，直至顯示如圖2-16所示的“選擇某一部署配置”對(duì)話框。

第2步，選擇“現(xiàn)有林”選項(xiàng)，然后選擇“在現(xiàn)有林中新建域”選項(xiàng)，單擊“下一步”按鈕，顯示如圖2-17所示的“網(wǎng)絡(luò)憑據(jù)”對(duì)話框。如果當(dāng)前登錄的用戶不是域管理員，建議選擇“備用憑據(jù)”選項(xiàng)，單擊“設(shè)置”按鈕，選擇具備管理員權(quán)限的用戶。本例中使用默認(rèn)值即可。

第3步，單擊“下一步”按鈕，顯示如圖2-18所示的“命名新域”對(duì)話框。在“父域的FQDN”文本框中鍵入父域的完整FQDN名稱，在“子域的單標(biāo)簽FQDN”文本框中鍵入子域的名稱，在“新子域的FQDN”文本框中自動(dòng)顯示子域完整的FQDN名稱。

第4步，單擊“下一步”按鈕，顯示如圖2-19所示的“請(qǐng)選擇一個(gè)站點(diǎn)”對(duì)話框。在“站點(diǎn)”列表中選擇站點(diǎn)。

第5步，單擊“下一步”按鈕，顯示如圖2-20所示的“其他域控制器”對(duì)話框。選擇“DNS服務(wù)器”和“全局編錄”選項(xiàng)。

第6步，單擊“下一步”按鈕，按照向?qū)崾就瓿勺佑虻陌惭b。安裝完成后，重新啟動(dòng)計(jì)算機(jī)，完成子域的安裝。同樣的方法可以完成book.com下其他子域的部署，部署完成的域樹如2-21所示。

2.3.2 查看父子域信任關(guān)系

父子域部署成功后，默認(rèn)信任關(guān)系為雙向可傳遞。“Active Directory域和信任關(guān)系”控制臺(tái)，可以查看父子域的信任關(guān)系。

第1步，以父域管理員身份登錄父域控制器，打開“Active Directory域和信任關(guān)系”窗口，如圖2-22所示。

第2步，右擊“book.com”，在彈出的快捷菜單中選擇“屬性”命令，顯示如圖2-23 所示的“book.com屬性”對(duì)話框。在“常規(guī)”選項(xiàng)卡中顯示當(dāng)前域的林功能級(jí)別和域功能級(jí)別，本例中功能級(jí)別均為Windows Server 2008。

第3步，切換到“信任”選項(xiàng)卡，顯示如圖2-24所示的“信任”對(duì)話框。在“外向信任”和“內(nèi)向信任”文本框中，顯示父域和子域的信任類型以及傳遞關(guān)系。

第4步，在“受此域信任的域（外向信任）”或者“信任此域的域（內(nèi)向信任）”列表框中，選擇任何一條信任關(guān)系，單擊“屬性”按鈕，顯示如圖2-25所示的對(duì)話框。顯示父子之間的信任類型、信任方向和信任傳遞關(guān)系。父子域之間是可信任的雙向傳遞關(guān)系。

第5步，在“Active Directory域和信任關(guān)系”窗口中，選擇“Beijing.book.com”選項(xiàng)，右擊該選項(xiàng)，在彈出的快捷菜單中選擇“屬性”命令，顯示如圖2-26所示的對(duì)話框。

第6步，切換到“信任”選項(xiàng)卡，顯示如圖2-27示的“信任”對(duì)話框。在該對(duì)話框中，可以查看Beijing.book.com和book.com之間的父子關(guān)系。

2.4 部署多域樹

多域樹包含同一個(gè)根域下的多個(gè)域，適用于大型網(wǎng)絡(luò)且業(yè)務(wù)彼此獨(dú)立的企業(yè)。多域樹的管理比較復(fù)雜，需要更多的域管理員以及管理更多的域控制器，需要處理林根信任、樹根信任、父子信任等復(fù)雜的信任關(guān)系。

2.4.1 部署多域樹

本例將在book.com的根域下，添加一棵新的名稱為daily.com的域樹。

第1步，以域管理員身份登錄到需要部署第二個(gè)域樹的服務(wù)器，啟動(dòng)“Active Directory安裝向?qū)А保@示如2-28所示的“歡迎使用Active Directory域服務(wù)安裝向?qū)А睂?duì)話框。

第2步，選擇“使用高級(jí)模式安裝”選項(xiàng)，單擊“下一步”按鈕，直至顯示如圖2-29所示的“選擇某一部署配置”對(duì)話框。選擇“現(xiàn)有林”選項(xiàng)，然后選擇“在現(xiàn)有林中新建域”選項(xiàng)，同時(shí)選擇“新建域樹根而不是新子域”選項(xiàng)。在當(dāng)前林中，創(chuàng)建一個(gè)新的域樹。

第3步，單擊“下一步”按鈕，顯示如圖2-30所示的“網(wǎng)絡(luò)憑據(jù)”對(duì)話框。如果當(dāng)前登錄的用戶不是域管理員，建議選擇“備用憑據(jù)”選項(xiàng)，單擊“設(shè)置”按鈕，選擇具備管理員權(quán)限的用戶。本例中使用默認(rèn)值即可。

第4步，單擊“下一步”按鈕，顯示如圖2-31所示的“命名新域樹根”對(duì)話框。在“新域樹的FQDN”文本框中，鍵入新域樹的FQDN名稱。

第5步，單擊“下一步”按鈕，顯示如圖2-32 所示的“域NetBIOS名稱”對(duì)話框。在“域NetBIOS名稱”文本框中，鍵入新域的NetBIOS名稱。默認(rèn)情況下，該名稱由向?qū)ё詣?dòng)識(shí)別填入，使用默認(rèn)值即可。

第6步，單擊“下一步”按鈕，顯示如圖2-33所示的“請(qǐng)選擇一個(gè)站點(diǎn)”對(duì)話框，選擇目標(biāo)站點(diǎn)。

第7步，單擊“下一步”按鈕，顯示如圖2-34所示的“其他域控制器選項(xiàng)”對(duì)話框。選擇“DNS服務(wù)器”和“全局編錄”選項(xiàng)。

第8步，單擊“下一步”按鈕，顯示如圖2-35所示的“源域控制器”對(duì)話框。為安裝的新域指定復(fù)制伙伴，選擇“使用此特定的域控制器”選項(xiàng)，在可用的域控制器列表中，選擇目標(biāo)域控制器。

第9步，單擊“下一步”按鈕，根據(jù)向?qū)崾就瓿葾ctive Directory部署。向?qū)?zhí)行完成后，重新啟動(dòng)計(jì)算機(jī)，完成新域樹的安裝。

2.4.2 查看域樹之間信任關(guān)系

部署在同一根域下的多域樹之間默認(rèn)信任關(guān)系為雙向且可傳遞，使用“Active Directory域和信任關(guān)系”可以查看域樹之間的信任關(guān)系。

第1步，以父域管理員身份登錄父域控制器，打開“Active Directory域和信任關(guān)系”窗口，如圖2-36所示。

第2步，右擊“book.com”，在彈出的快捷菜單中選擇“屬性”命令，顯示“book.com屬性”對(duì)話框。切換到“信任”選項(xiàng)卡，顯示如圖2-37所示的“信任”對(duì)話框。在“外向信任”和“內(nèi)向信任”文本框中，顯示信任類型以及傳遞關(guān)系。“Daily.com”的信任類型為“樹根”。

第3步，在“受此信任的域（外向信任）”或者“信任此域的域（內(nèi)向信任）”列表框中，選擇任何一條“Daily.com”信任關(guān)系，單擊“屬性”按鈕，顯示如圖2-38所示的對(duì)話框。顯示同一個(gè)森林下的樹根之間的信任類型、信任方向和信任傳遞關(guān)系。同一個(gè)森林下的樹根之間是可信任的雙向傳遞關(guān)系。

2.5 部署信任關(guān)系

在Windows網(wǎng)絡(luò)中，除了使用“Active Directory安裝向?qū)А碧嵘蚩刂破鞯倪^程中，默認(rèn)創(chuàng)建的信任關(guān)系之外，還可以使用“新建信任向?qū)А眲?chuàng)建新類型的信任關(guān)系，包括快捷信任、外部信任和森林信任。部署快捷信任的目的是提高網(wǎng)絡(luò)訪問的速度，降低網(wǎng)絡(luò)流量。外部信任和森林信任主要用于兩個(gè)不同的林之間的資源訪問，默認(rèn)情況下兩個(gè)不同林之間的資源不能夠訪問，只有部署信任關(guān)系之后，才可以彼此訪問。

2.5.1 部署快捷信任

同一個(gè)域林下有2 個(gè)子域，2 個(gè)子域之間通過默認(rèn)信任建立雙向信任關(guān)系。在Shenzhen.book.com域中存儲(chǔ)公用資源，網(wǎng)絡(luò)中訪問量大，為了加快訪問的速度和降低用戶登錄訪問的時(shí)間，在Beijing.book.com和Shenzhen.book.com之間建立快捷信任，如圖2-8所示。

第1步，以父域管理員身份登錄父域控制器，選擇“開始”→“管理工具”→“Active Directory域和信任關(guān)系”選項(xiàng)，顯示如圖2-39所示的“Active Directory域和信任關(guān)系”窗口。

第2步，右擊“book.com”，在彈出的快捷菜單中選擇“屬性”命令，顯示“book.com屬性”對(duì)話框的“常規(guī)”選項(xiàng)卡。切換到“信任”選項(xiàng)卡，顯示如圖2-40所示的“信任”對(duì)話框。在“外向信任”和“內(nèi)向信任”文本框中，顯示父域和子域的信任類型以及傳遞關(guān)系。

第3步，單擊“新建信任”按鈕，啟動(dòng)“新建信任向?qū)А保@示如圖2-41所示的“歡迎使用新建信任向?qū)А睂?duì)話框。

第4步，單擊“下一步”按鈕，顯示如圖2-42所示的“信任名稱”對(duì)話框。在“名稱”文本框中，鍵入信任域的DNS名稱（FQDN）。本例中創(chuàng)建Shenzhen.book.com域信任Beijing.book.com，鍵入Shenzhen.book.com域的DNS名稱。

第5步，單擊“下一步”按鈕，顯示如圖2-43所示的“信任方向”對(duì)話框。在此對(duì)話框中選擇“單向：內(nèi)傳”選項(xiàng)。

信任方向解釋

● 雙向：信任域和被信任域中的用戶都可以在各自的域中信任對(duì)方域的用戶。

● 單向-內(nèi)傳：發(fā)起創(chuàng)建信任的域可以在目標(biāo)域得到身份認(rèn)證。

● 單向-外傳：發(fā)起創(chuàng)建信任的域可以認(rèn)證目標(biāo)域中的用戶。

第6步，單擊“下一步”按鈕，顯示如圖2-44所示的“信任方”對(duì)話框。選擇“此域和指定的域”選項(xiàng)。

信任方解釋

● 只是這個(gè)域：僅在發(fā)起域創(chuàng)建信任關(guān)系。

● 此域和指定的域：建議選擇此項(xiàng)。因?yàn)樵诒镜赜騽?chuàng)建一個(gè)單向傳入信任，在目標(biāo)域必須創(chuàng)建一個(gè)單向傳出信任關(guān)系，才能夠驗(yàn)證成功。

第7步，單擊“下一步”按鈕，顯示如圖2-45所示的“用戶名和密碼”對(duì)話框。鍵入目標(biāo)域中具備管理員賬號(hào)的用戶和密碼。

第8步，單擊“下一步”按鈕，顯示如圖2-46所示的“選擇信任完畢”對(duì)話框。顯示創(chuàng)建信任關(guān)參數(shù)，管理員可以根據(jù)實(shí)際調(diào)整相應(yīng)的參數(shù)。

第9步，單擊“下一步”按鈕，顯示如圖2-47所示的“信任創(chuàng)建完畢”對(duì)話框。“改動(dòng)狀態(tài)”中描述信任關(guān)系的參數(shù)，包括信任類型、信任方向、目標(biāo)域、信任方等信息。信任類型為快捷方式，即快捷信任。

第10步，單擊“下一步”按鈕，顯示如2-48所示的“確認(rèn)傳入信任”對(duì)話框。選擇“是，確認(rèn)傳入信任”選項(xiàng)。

第11步，單擊“下一步”按鈕，顯示如圖2-49所示的“正在完成新建信任向?qū)А睂?duì)話框。

第12步，單擊“完成”按鈕，成功創(chuàng)建快捷信任，如圖2-50所示。

2.5.2 外部信任

book.com域兼并了shm.com域，book.com域中的用戶需要訪問shm.com域中的資源，因此為book.com域部署指向shm.com域的外部信任關(guān)系，book.com域中用戶即可訪問shm.com域中的資源。

book.com域和shm.com域均使用Windows Server 2008操作系統(tǒng)，當(dāng)前林功能級(jí)別為Windows Server 2008。book.com域和shm.com域物理鏈路通訊正常，DNS彼此可以互相解析成功。

1. 無信任資源訪問

Book.com域和shm.com是兩個(gè)獨(dú)立的域，在沒有建立信任之前，book.com無法訪問shm.com域中資源，如圖2-51所示。

同樣，shm.com域無法訪問book.com中的資源，如圖2-52所示。

2. 部署外部信任

第1步，以父域管理員身份登錄父域控制器，啟動(dòng)“Active Directory域和信任關(guān)系”控制臺(tái)。右擊“book.com”，在彈出的快捷菜單中選擇“屬性”命令，顯示“book.com屬性”對(duì)話框的“常規(guī)”選項(xiàng)卡。切換到“信任”選項(xiàng)卡，顯示如圖2-53所示的“信任”對(duì)話框。

第2步，單擊“新建信任”按鈕，啟動(dòng)“新建信任向?qū)А保^“歡迎使用新建信任向?qū)А睂?duì)話框，顯示如圖2-54 所示的“信任名稱”對(duì)話框。在“名稱”對(duì)話框中鍵入目標(biāo)域。

第3步，單擊“下一步”按鈕，顯示如圖2-55所示的“信任類型”對(duì)話框。選擇“外部信任”選項(xiàng)。

第4步，單擊“下一步”按鈕，顯示如圖2-56示的“信任方向”對(duì)話框。選擇“雙向”選項(xiàng)。

第5步，單擊“下一步”按鈕，顯示如圖2-57所示的“信任方”對(duì)話框。選擇“此域和指定的域”選項(xiàng)。

第6步，單擊“下一步”按鈕，顯示如圖2-58所示的“用戶名和密碼”對(duì)話框。鍵入shm.com域的管理員用戶名和密碼。

第7步，單擊“下一步”按鈕，顯示如圖2-59示的“傳出信任身份驗(yàn)證級(jí)別——本地域”對(duì)話框。選擇“全域性身份驗(yàn)證”選項(xiàng)，允許域中的用戶訪問目標(biāo)域資源。

第8步，單擊“下一步”按鈕，顯示如圖2-60所示的“傳出信任身份驗(yàn)證級(jí)別——指定域”對(duì)話框。選擇“全域性身份驗(yàn)證”選項(xiàng)，允許域中的用戶訪問目標(biāo)域資源。

第9步，單擊“下一步”按鈕，顯示如圖2-61示的“選擇信任完畢”對(duì)話框。顯示部署的外部信任參數(shù)，信任類型是外部。

第10步，單擊“下一步”按鈕，顯示如7-62所示的“信任創(chuàng)建完畢”對(duì)話框。信任關(guān)系創(chuàng)建成功，顯示信任類型、信任方向、目標(biāo)域、信任方等信息

第11步，單擊“下一步”按鈕，顯示如圖2-63示的“確認(rèn)傳出信任”對(duì)話框。

第12步，單擊“下一步”按鈕，顯示如圖2-64所示的“確認(rèn)傳入信任”對(duì)話框。

第13步，單擊“下一步”按鈕，顯示如7-65所示的“正在完成新建信任向?qū)А睂?duì)話框。

第14步，單擊“完成”按鈕，顯示如圖2-66所示的“Active Directory域服務(wù)”對(duì)話框。

第15步，單擊“確定”按鈕，成功創(chuàng)建外部信任關(guān)系，如圖2-67所示。

3. 信任資源訪問

外部信任部署成功后，book.com域和shm.com域之間即可彼此訪問域中資源。

Book.com訪問shm.com域中資源，如圖2-68所示。

Shm.com訪問book.com域中的資源，如圖2-69所示。

2.5.3 森林信任

部署森林信任的環(huán)境和條件和外部信任相同，部署信任的過程也相同，在部署的過程中有以下不同點(diǎn)。

1. 選擇“信任類型”時(shí)，選擇“林信任”選項(xiàng)，即創(chuàng)建森林信任，如圖2-70所示。

2. 在“傳出信任身份驗(yàn)證級(jí)別——本地林”對(duì)話框中，選擇“全林性身份驗(yàn)證”選項(xiàng)，允許林中的用戶訪問目標(biāo)林，如圖2-71所示。

3. 在“傳出信任身份驗(yàn)證級(jí)別——指定林”對(duì)話框中，選擇“全林身份驗(yàn)證”選項(xiàng)，允許林中的用戶訪問目標(biāo)林，如圖2-72所示。

其他部分按照向?qū)崾就瓿杉纯桑渴鹜瓿傻纳秩鐖D2-73所示。

2.5.4 刪除信任

網(wǎng)絡(luò)中建立的信任關(guān)系已經(jīng)不能滿足管理需要，管理員可以刪除信任關(guān)系。

第1步，以父域管理員身份登錄父域控制器，啟動(dòng)“Active Directory域和信任關(guān)系”控制臺(tái)。右擊“book.com”，在彈出的快捷菜單中選擇“屬性”命令，顯示“book.com屬性”對(duì)話框，切換到“信任”選項(xiàng)卡。

第2步，在“受此域信任的域（外向信任）”或者“信任此域的域（內(nèi)向信任）”列表框中，選擇需要?jiǎng)h除的信任關(guān)系，單擊“刪除”按鈕，顯示如圖2-74所示的“Active Directory域服務(wù)”對(duì)話框。

第3步，選擇“是，從本地域和另一個(gè)域中刪除信任”選項(xiàng)，單擊“確定”按鈕，顯示如圖2-75所示的“Active Directory域服務(wù)”對(duì)話框。

第4步，單擊“是”按鈕，成功刪除選擇的信任關(guān)系，如圖2-76所示。