在多網域 ADDS樹系中, 信任關係決定了使用者如何在不同網域間存取資源, 信任關係可分為單向信任和雙向信任, 樹系信任是兩個獨立的 ADDS樹系之間的信任關係, 讓使用者可以存取另一個樹系內的資源, 這種信任關係通常用於企業合併或合作的情況
1. 單向信任
只有信任者(Trusting)允許來自被信任者(Trusted)的使用者存取資源
例如: 如果 A 樹系單向信任 B 樹系, 那麼 B 樹系的使用者可以存取 A 樹系的資源, 但 A 樹系的使用者無法存取 B 樹系的資源w-studio.idv.tw
2. 雙向信任
兩個樹系互相信任, 彼此的使用者都能存取對方的資源
例如: 如果 A 樹系和 B 樹系建立雙向信任, 那麼 A 樹系的使用者可以存取 B 樹系的資源, 反之亦然
1. 身份驗證:
當使用者嘗試存取跨樹系資源時, 系統會透過 Kerberos或 NTLM驗證使用者的身份, Kerberos 會查詢信任路徑, 並向信任的網域請求授權w-studio.idv.tw
2. 名稱解析:
兩個樹系之間的 DNS解析必須正常運作, 否則信任關係將無法使用, 可透過 DNS轉寄(Forwarders)或條件式轉寄(Conditional Forwarding)來解析對方的網域名稱
3. 權限與存取控制:
建立信任關係後, 使用者仍需要適當的權限才能存取資源, 必須在資源的 ACL(Access Control List)中新增適當的使用者或群組
建立樹系信任
。兩個樹系的功能等級必須為 Windows Server 2003或更新版本
。兩個樹系的根網域必須能夠解析彼此的 DNS
。必須有足夠的管理權限(企業系統管理員或網域系統管理員)
沒有留言:
張貼留言