前几天做实验,讲到windows 2003域信任这个问题时。发现大家对域的单向信任和双向信任如何建立,比较模糊。尤其是对one-way trust中的income和outgoing不甚明白。所以在这里做个澄清。下面分别以域的单向信任和双向信任的加以说明。
在管理工具里,选active directory 域的信任和关系,进入管理console,在相应的域gcv.cn上右击选属性,如图所示:
选择“新建信任”
信任名称,可以选netbios名nst或者dns名称nst.cn来建立。这个信任名称,是指定域的名称。就我要信任的域的名称。在做这一步时,一定要dns的转发器中,将域nst.cn的dns添加上去。不然是无法与nst.cn建立信任关系的。准备工作完成后,进入下一步。
在选择建立域的单向信任时,在这里,需要注意的是:你要选择“单向内传(incoming)”还是“单向外穿(outgoing)”,这取决于你打算让这个域(gcv.cn)的用户在指定域(nst.cn)中得到身份验证还是相反。我这里做的是gcv.cn信任nst.cn。我希望gcv.cn里的用户在nst.cn中得到身份验证。所以选择单向:内传。
在创建单向信任时,有两种选择,如果在本地域中创建,那么需要在gcv.cn和nst.cn中都要建立单向信任。另外一个选择是,如果你有nst.cn域的管理员权限,那么你选择在两个域(gcv.cn和指定的域nst.cn)中创建单向信任。那么仅仅需要在gcv.cn中创建一次信任关系即可。
如果已经取得nst.cn的管理权限。进行下一步:
接下来,点下一步,并确认信任关系。那么这个单向信任关系,就算创建完成。
注意:如果你选择在本地域中创建信任关系,就就是选择了第一项。那么你需要在本地域和指定域中分别创建信任关系。并使用一个信任密码。在incoming端设定。
接下来,我们看双向信任关系怎么创建?
同样是进入管理工具,选择active directory 域和信任关系,在域gcv.cn上右键选择属性,输入信任名称nst.cn。我们选择信任方向为双向,如图所示:
就用户可在在两个域中进行交叉验证。点击下一步:
这里同样有两个选项。如果你没有指定域的权限,那么就选第一项,通过信任密码来建立信任。否则,可以选第二项,通过指定域的权限来在两个域中同时创建信任关系。这里我们看第一项。以为第二项的示例在单向信任中,已经介绍过。
对指定域的用户进行身份验证方法。根据你的ou情况而定。这里我们选择“选择性身份验证”。
然后进入下一步并设定信任密码:
如果指定域(nst.cn)已经建立了传出信任。那么在输入信任密码后。可以确认信任传入。否则,选择不确认信任传入。
至此,双向信任创建完成。那么gcv.cn和nst.cn的用户可以在彼此中进行身份验证和访问需要的资源。
至于要创建单向还是双向,都是依照你的需求和安全控制策略而定。