疏國(guó)會(huì) 金鑫

摘要：信任關(guān)系是在Windows的域或林之間建立的關(guān)系，它可以使一個(gè)域（或林）中的用戶由另一個(gè)域（或林）中的域控制器來(lái)進(jìn)行驗(yàn)證，實(shí)現(xiàn)同一個(gè)林中的跨域訪問(wèn)和不同林之間的跨域訪問(wèn)。信任關(guān)系分為林中的信任關(guān)系和林之間的信任關(guān)系兩種類型。在企業(yè)管理中可以通過(guò)創(chuàng)建合適的信任關(guān)系，簡(jiǎn)化企業(yè)的日常操作，為企業(yè)不同部門之間的資源互訪提供便利。

關(guān)鍵詞： 信任關(guān)系；可傳遞；AGDLP規(guī)則；跨域訪問(wèn)

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）05-1102-04

在大中型企業(yè)中，隨著業(yè)務(wù)的擴(kuò)展，子公司和分公司日益增多，如果公司網(wǎng)絡(luò)采用Windows系統(tǒng)進(jìn)行管理，單域模式已經(jīng)不滿足企業(yè)的需求，在這種情況下可以根據(jù)企業(yè)的行政劃分實(shí)行分級(jí)管理，設(shè)置多個(gè)域來(lái)組織企業(yè)的網(wǎng)絡(luò)。但是當(dāng)多個(gè)域之間是獨(dú)立的時(shí)候，一個(gè)域中的用戶是無(wú)法訪問(wèn)另一個(gè)域中的資源的，因此為了簡(jiǎn)化企業(yè)管理，解決用戶跨域訪問(wèn)資源的問(wèn)題，可以在域（或林）之間建立信任關(guān)系。

1 Windows 域信任關(guān)系概述

信任關(guān)系是在Windows的域（或林）之間建立的關(guān)系，它可以使一個(gè)域（或林）中的用戶由另一個(gè)域（或林）中的域控制器來(lái)進(jìn)行驗(yàn)證，實(shí)現(xiàn)同一個(gè)林中的跨域訪問(wèn)和不同林之間的跨域訪問(wèn)，從而為企業(yè)不同部門之間的資源互訪提供便利[1]。

Windows域信任關(guān)系分為林中的信任關(guān)系和林之間的信任關(guān)系兩種類型。

1.1 林中的信任關(guān)系

林中的信任關(guān)系是指在同一個(gè)林內(nèi)部自動(dòng)創(chuàng)建的信任關(guān)系，并且具備可傳遞、雙向的特征，當(dāng)在一個(gè)林中添加域樹(shù)或子域后，林中所有域之間的信任關(guān)系就會(huì)自動(dòng)創(chuàng)建[2]。

1.2 林之間的信任關(guān)系

林之間的信任關(guān)系可分為外部信任和林信任。外部信任是指在不同林的域之間手動(dòng)創(chuàng)建的不可傳遞的信任；林信任是指在任一林中的各個(gè)域之間手動(dòng)創(chuàng)建的單向的或雙向的可傳遞的信任關(guān)系[1]。外部信任為不同林中的不同域之間跨域訪問(wèn)資源提供了方法，但如果兩個(gè)林中分別有多個(gè)域，就需要?jiǎng)?chuàng)建多個(gè)外部信任，增加了操作的復(fù)雜性，簡(jiǎn)單的方法是只要在林根域之間建立林信任關(guān)系，而不需要?jiǎng)?chuàng)建多個(gè)外部信任，因?yàn)榱中湃问强蓚鬟f的。

2 域信任關(guān)系在企業(yè)管理中的應(yīng)用

2.1 林中的信任關(guān)系在企業(yè)管理中的應(yīng)用

某公司采用Windows域環(huán)境進(jìn)行管理，總公司的域名為abc.com，公司有兩個(gè)分公司，域名分別為aa.abc.com和bb.abc.com，把它們作為根域abc.com的子域，只要確立好是父子關(guān)系后，他們之間的信任關(guān)系也就確立了，也就能實(shí)現(xiàn)總公司和分公司之間資源互訪。首先子域bb.abc.com會(huì)與根域建立起互相信任的雙向關(guān)系，同時(shí)因?yàn)楦蛞残湃巫佑騛a.abc.com，由于在同一林中域的信任是會(huì)自動(dòng)傳遞的，所以子域bb.abc.com與子域aa.abc.com也是相互信任的[3]。如圖1所示，箭頭表示信任關(guān)系。

在林A中添加子域aa.abc.com 和bb.abc.com后，林中所有域之間的信任關(guān)系就會(huì)自動(dòng)創(chuàng)建。操作步驟如下：1）在新服務(wù)器上運(yùn)行“dcpromo”命令，在歡迎向?qū)Ы缑嬷羞x擇“使用高級(jí)模式”安裝，單擊下一步按鈕；2）根據(jù)安裝向?qū)崾具M(jìn)入“選擇某一部署配置”界面。逐層選擇“現(xiàn)有林”、“在現(xiàn)有林中新建立域”，單擊“下一步”；如圖2所示。

圖2 選擇“在現(xiàn)有林中新建立域”

3）在“網(wǎng)絡(luò)憑據(jù)”界面中輸入目標(biāo)林中已存在域的名稱，設(shè)置用于執(zhí)行安裝的帳戶憑據(jù)，單擊“下一步”；如圖3所示。

圖3 設(shè)置網(wǎng)絡(luò)憑據(jù)

4）在“命名新域”界面中，輸入父域的FQDN及子域的名稱，單擊“下一步”；如圖4所示。

圖4 “命名新域”界面

5）按照安裝向?qū)崾?，完成剩余的安裝，然后重啟服務(wù)器即可。

用同樣的方法可以自動(dòng)創(chuàng)建域abc.com和域bb.abc.com之間的信任關(guān)系。完成安裝后，在“Active Directory域和信任關(guān)系”管理控制臺(tái)中可以查看到域abc.com和域aa.abc.com、域bb.abc.com之間是父子信任關(guān)系。

2.2 林信任關(guān)系在企業(yè)管理中的應(yīng)用

林信任是Windows Server 2003林和Windows Server 2008林特有的信任，創(chuàng)建林信任可為任一林中的各個(gè)域之間提供一種單向或雙向的可傳遞信任關(guān)系。兩個(gè)公司分別具有不同的林根域abc.com和林根域xyz.com，域aa.abc.com和域bb.abc.com是林根域abc.com子域，域cc.xyz.com是林根域xyz.com子域，要實(shí)現(xiàn)兩個(gè)林中所有域資源互訪，只要在林根域abc.com和林根域xyz.com之間建立林信任就可以。如圖5所示。

圖5 林信任關(guān)系

首先分別在兩個(gè)林根域的DNS中設(shè)置輔助區(qū)域用于解析對(duì)方地址，或者增加第三臺(tái)DNS服務(wù)器對(duì)兩個(gè)林根域進(jìn)行解析，然后創(chuàng)建可傳遞的林信任關(guān)系。

具體操作步驟如下：1）打開(kāi)“Active Directory域和信任關(guān)系”管理控制臺(tái)，右擊域名“xyz.com”，在彈出菜單中選擇“屬性”，在彈出的屬性界面中打開(kāi)“信任”選項(xiàng)卡，單擊“新建信任”，打開(kāi)“新建信任向?qū)А?，在“信任名稱”界面中，輸入對(duì)方林根域的名稱，此例中為“abc.com”，單擊“下一步”。如圖6所示。

圖6 設(shè)置對(duì)方林根域名稱

2）在“信任類型”界面中，選擇“林信任”；在“信任方向”界面中，選擇“單向：外傳”；在“信任方”界面中，選擇“此域和指定域”。3）在“用戶名和密碼”界面中，輸入指定域有管理權(quán)限的用戶名和密碼，單擊“下一步”。如圖7所示。

圖7 輸入指定域的用戶名和密碼

4）在“傳出信任身份驗(yàn)證級(jí)別——本地林”界面中，選擇“全林身份驗(yàn)證”，單擊“下一步”，直至完成。如圖8所示。

圖8 完成創(chuàng)建信任

信任創(chuàng)建完成后，在兩個(gè)域的DC上打開(kāi)“Active Directory域和信任關(guān)系”。域abc.com為林內(nèi)向信任，被域xyz.com信任，信任可傳遞；域xyz.com為林外向信任，信任域abc.com，信任可傳遞。

2.3 運(yùn)用AGDLP規(guī)則賦權(quán)限，實(shí)現(xiàn)跨域訪問(wèn)資源

信任關(guān)系的建立為跨域訪問(wèn)資源提供了前提條件，但要成功訪問(wèn)資源還必須設(shè)置權(quán)限。AGDLP規(guī)則是指先將用戶帳戶加入到全局組，然后將全局組加入本地域組，最后再給本地域組賦予相應(yīng)的權(quán)限。A表示帳戶（Account）、G表示全局組（Global Group）、DL表示本地域組（Domain Local Group）、P表示賦予權(quán)限（Permission）[4]。

若域abc.com中的財(cái)務(wù)部用戶UserA和UserB需要訪問(wèn)域xyz.com的共享文件夾“soft”，具體操作步驟如下：1）在域abc.com的DC上創(chuàng)建全局組global_fina，并將用戶帳戶UserA和UserB加入到該組中。2）在域xyz.com的DC上創(chuàng)建本地域組local_fina，然后在其“屬性”界面中打開(kāi)“成員”選項(xiàng)卡，單擊“添加”按鈕，打開(kāi)“選擇用戶、聯(lián)系人、計(jì)算機(jī)或組”界面，單擊“查找范圍”，在打開(kāi)的“位置”界面中，選擇“abc.com”，然后單擊“確定”按鈕。

3）返回“選擇用戶、聯(lián)系人、計(jì)算機(jī)或組”界面，輸入全局組名稱“global_fina”，然后單擊“確定”按鈕。如圖9所示。

圖9 輸入全局組名稱

4）在文件夾soft上賦予本地域組local_fina相應(yīng)的讀取權(quán)限。設(shè)置完成后，用戶UserA 和UserB就可以通過(guò)登錄本域內(nèi)的計(jì)算機(jī)訪問(wèn)共享文件夾soft了，或者用戶UserA和UserB也可以使用xyz.com的計(jì)算機(jī)登錄訪問(wèn)共享文件夾soft，但在登錄時(shí)需要注明帳戶為域abc.com的帳戶，而不是默認(rèn)xyz.com的帳戶。如圖10所示。

圖10 使用資源域計(jì)算機(jī)登錄 （下轉(zhuǎn)第1143頁(yè)）

（上接第1105頁(yè)）

3 結(jié)束語(yǔ)

雙向的可傳遞的域信任關(guān)系使得企業(yè)的管理變得非常簡(jiǎn)單，提高了工作效率。所以在使用Windows 系統(tǒng)進(jìn)行管理的企業(yè)中，可以通過(guò)系統(tǒng)自動(dòng)創(chuàng)建和手動(dòng)創(chuàng)建的方法確立域（或林）之間的信任關(guān)系，然后為用戶或組分配恰當(dāng)?shù)臋?quán)限，實(shí)現(xiàn)跨域訪問(wèn)資源[5]。

參考文獻(xiàn)：

[1] 北京阿博泰克北大青鳥信息技術(shù)有限公司，職業(yè)教育研究所.活動(dòng)目錄管理及維護(hù)[M].北京：電子工業(yè)出版社，2011：169-186.

[2] 王隆杰，梁廣民.Windows Server 2008網(wǎng)絡(luò)管理[M]. 北京：清華大學(xué)出版社，2012（5）：259-276.

[3] 通過(guò)Windows Server 2008域信任簡(jiǎn)化企業(yè)管理[EB/OL]. [2013-12-01]. http：//www.chinabyte.com/166/11054166.shtml.

[4] 龔秀琴，張桂芬.Windows Server 2008中Active Directory域的配置管理[J]. 數(shù)字技術(shù)與應(yīng)用，2012（12）：155-156.

[5] 高深.基于Windows Server 2008的網(wǎng)站服務(wù)器的構(gòu)建[J].電子測(cè)試，2013（3）：157-158.