疏國會 金鑫

摘要：信任關系是在Windows的域或林之間建立的關系，它可以使一個域（或林）中的用戶由另一個域（或林）中的域控制器來進行驗證，實現(xiàn)同一個林中的跨域訪問和不同林之間的跨域訪問。信任關系分為林中的信任關系和林之間的信任關系兩種類型。在企業(yè)管理中可以通過創(chuàng)建合適的信任關系，簡化企業(yè)的日常操作，為企業(yè)不同部門之間的資源互訪提供便利。

關鍵詞： 信任關系；可傳遞；AGDLP規(guī)則；跨域訪問

中圖分類號：TP311 文獻標識碼：A 文章編號：1009-3044（2014）05-1102-04

在大中型企業(yè)中，隨著業(yè)務的擴展，子公司和分公司日益增多，如果公司網絡采用Windows系統(tǒng)進行管理，單域模式已經不滿足企業(yè)的需求，在這種情況下可以根據企業(yè)的行政劃分實行分級管理，設置多個域來組織企業(yè)的網絡。但是當多個域之間是獨立的時候，一個域中的用戶是無法訪問另一個域中的資源的，因此為了簡化企業(yè)管理，解決用戶跨域訪問資源的問題，可以在域（或林）之間建立信任關系。

1 Windows 域信任關系概述

信任關系是在Windows的域（或林）之間建立的關系，它可以使一個域（或林）中的用戶由另一個域（或林）中的域控制器來進行驗證，實現(xiàn)同一個林中的跨域訪問和不同林之間的跨域訪問，從而為企業(yè)不同部門之間的資源互訪提供便利[1]。

Windows域信任關系分為林中的信任關系和林之間的信任關系兩種類型。

1.1 林中的信任關系

林中的信任關系是指在同一個林內部自動創(chuàng)建的信任關系，并且具備可傳遞、雙向的特征，當在一個林中添加域樹或子域后，林中所有域之間的信任關系就會自動創(chuàng)建[2]。

1.2 林之間的信任關系

林之間的信任關系可分為外部信任和林信任。外部信任是指在不同林的域之間手動創(chuàng)建的不可傳遞的信任；林信任是指在任一林中的各個域之間手動創(chuàng)建的單向的或雙向的可傳遞的信任關系[1]。外部信任為不同林中的不同域之間跨域訪問資源提供了方法，但如果兩個林中分別有多個域，就需要創(chuàng)建多個外部信任，增加了操作的復雜性，簡單的方法是只要在林根域之間建立林信任關系，而不需要創(chuàng)建多個外部信任，因為林信任是可傳遞的。

2 域信任關系在企業(yè)管理中的應用

2.1 林中的信任關系在企業(yè)管理中的應用

某公司采用Windows域環(huán)境進行管理，總公司的域名為abc.com，公司有兩個分公司，域名分別為aa.abc.com和bb.abc.com，把它們作為根域abc.com的子域，只要確立好是父子關系后，他們之間的信任關系也就確立了，也就能實現(xiàn)總公司和分公司之間資源互訪。首先子域bb.abc.com會與根域建立起互相信任的雙向關系，同時因為根域也信任子域aa.abc.com，由于在同一林中域的信任是會自動傳遞的，所以子域bb.abc.com與子域aa.abc.com也是相互信任的[3]。如圖1所示，箭頭表示信任關系。

在林A中添加子域aa.abc.com 和bb.abc.com后，林中所有域之間的信任關系就會自動創(chuàng)建。操作步驟如下：1）在新服務器上運行“dcpromo”命令，在歡迎向導界面中選擇“使用高級模式”安裝，單擊下一步按鈕；2）根據安裝向導提示進入“選擇某一部署配置”界面。逐層選擇“現(xiàn)有林”、“在現(xiàn)有林中新建立域”，單擊“下一步”；如圖2所示。

圖2 選擇“在現(xiàn)有林中新建立域”

3）在“網絡憑據”界面中輸入目標林中已存在域的名稱，設置用于執(zhí)行安裝的帳戶憑據，單擊“下一步”；如圖3所示。

圖3 設置網絡憑據

4）在“命名新域”界面中，輸入父域的FQDN及子域的名稱，單擊“下一步”；如圖4所示。

圖4 “命名新域”界面

5）按照安裝向導提示，完成剩余的安裝，然后重啟服務器即可。

用同樣的方法可以自動創(chuàng)建域abc.com和域bb.abc.com之間的信任關系。完成安裝后，在“Active Directory域和信任關系”管理控制臺中可以查看到域abc.com和域aa.abc.com、域bb.abc.com之間是父子信任關系。

2.2 林信任關系在企業(yè)管理中的應用

林信任是Windows Server 2003林和Windows Server 2008林特有的信任，創(chuàng)建林信任可為任一林中的各個域之間提供一種單向或雙向的可傳遞信任關系。兩個公司分別具有不同的林根域abc.com和林根域xyz.com，域aa.abc.com和域bb.abc.com是林根域abc.com子域，域cc.xyz.com是林根域xyz.com子域，要實現(xiàn)兩個林中所有域資源互訪，只要在林根域abc.com和林根域xyz.com之間建立林信任就可以。如圖5所示。

圖5 林信任關系

首先分別在兩個林根域的DNS中設置輔助區(qū)域用于解析對方地址，或者增加第三臺DNS服務器對兩個林根域進行解析，然后創(chuàng)建可傳遞的林信任關系。

具體操作步驟如下：1）打開“Active Directory域和信任關系”管理控制臺，右擊域名“xyz.com”，在彈出菜單中選擇“屬性”，在彈出的屬性界面中打開“信任”選項卡，單擊“新建信任”，打開“新建信任向導”，在“信任名稱”界面中，輸入對方林根域的名稱，此例中為“abc.com”，單擊“下一步”。如圖6所示。

圖6 設置對方林根域名稱

2）在“信任類型”界面中，選擇“林信任”；在“信任方向”界面中，選擇“單向：外傳”；在“信任方”界面中，選擇“此域和指定域”。3）在“用戶名和密碼”界面中，輸入指定域有管理權限的用戶名和密碼，單擊“下一步”。如圖7所示。

圖7 輸入指定域的用戶名和密碼

4）在“傳出信任身份驗證級別——本地林”界面中，選擇“全林身份驗證”，單擊“下一步”，直至完成。如圖8所示。

圖8 完成創(chuàng)建信任

信任創(chuàng)建完成后，在兩個域的DC上打開“Active Directory域和信任關系”。域abc.com為林內向信任，被域xyz.com信任，信任可傳遞；域xyz.com為林外向信任，信任域abc.com，信任可傳遞。

2.3 運用AGDLP規(guī)則賦權限，實現(xiàn)跨域訪問資源

信任關系的建立為跨域訪問資源提供了前提條件，但要成功訪問資源還必須設置權限。AGDLP規(guī)則是指先將用戶帳戶加入到全局組，然后將全局組加入本地域組，最后再給本地域組賦予相應的權限。A表示帳戶（Account）、G表示全局組（Global Group）、DL表示本地域組（Domain Local Group）、P表示賦予權限（Permission）[4]。

若域abc.com中的財務部用戶UserA和UserB需要訪問域xyz.com的共享文件夾“soft”，具體操作步驟如下：1）在域abc.com的DC上創(chuàng)建全局組global_fina，并將用戶帳戶UserA和UserB加入到該組中。2）在域xyz.com的DC上創(chuàng)建本地域組local_fina，然后在其“屬性”界面中打開“成員”選項卡，單擊“添加”按鈕，打開“選擇用戶、聯(lián)系人、計算機或組”界面，單擊“查找范圍”，在打開的“位置”界面中，選擇“abc.com”，然后單擊“確定”按鈕。

3）返回“選擇用戶、聯(lián)系人、計算機或組”界面，輸入全局組名稱“global_fina”，然后單擊“確定”按鈕。如圖9所示。

圖9 輸入全局組名稱

4）在文件夾soft上賦予本地域組local_fina相應的讀取權限。設置完成后，用戶UserA 和UserB就可以通過登錄本域內的計算機訪問共享文件夾soft了，或者用戶UserA和UserB也可以使用xyz.com的計算機登錄訪問共享文件夾soft，但在登錄時需要注明帳戶為域abc.com的帳戶，而不是默認xyz.com的帳戶。如圖10所示。

圖10 使用資源域計算機登錄 （下轉第1143頁）

（上接第1105頁）

3 結束語

雙向的可傳遞的域信任關系使得企業(yè)的管理變得非常簡單，提高了工作效率。所以在使用Windows 系統(tǒng)進行管理的企業(yè)中，可以通過系統(tǒng)自動創(chuàng)建和手動創(chuàng)建的方法確立域（或林）之間的信任關系，然后為用戶或組分配恰當的權限，實現(xiàn)跨域訪問資源[5]。

參考文獻：

[1] 北京阿博泰克北大青鳥信息技術有限公司，職業(yè)教育研究所.活動目錄管理及維護[M].北京：電子工業(yè)出版社，2011：169-186.

[2] 王隆杰，梁廣民.Windows Server 2008網絡管理[M]. 北京：清華大學出版社，2012（5）：259-276.

[3] 通過Windows Server 2008域信任簡化企業(yè)管理[EB/OL]. [2013-12-01]. http：//www.chinabyte.com/166/11054166.shtml.

[4] 龔秀琴，張桂芬.Windows Server 2008中Active Directory域的配置管理[J]. 數字技術與應用，2012（12）：155-156.

[5] 高深.基于Windows Server 2008的網站服務器的構建[J].電子測試，2013（3）：157-158.