活动目录的基本概念 全局目录与系统关系 Object Domain Attributes Domain DomaIn Domain Global Catalog Queries Domain Domain Group membership when user logs on Global Catalog Server
全局目录与系统关系 活动目录的基本概念
活动目录的基本概念 什么是信任关系? 域是一个安全边界,通常如果希望去访问这个安 全边界之内的资源,必须先得到这个域的域控制器的 身份验证,验证合法方可进入域 信任关系存在于域与域之间,目的是为了实现跨 域(即跨越安全边界)的访问。 域信任关系使得一个域中的用户可由另一域中的 域控制器进行验证,从而使得用户能去访问另一个域 中的资源
▪ 什么是信任关系? 域是一个安全边界,通常如果希望去访问这个安 全边界之内的资源,必须先得到这个域的域控制器的 身份验证,验证合法方可进入域。 信任关系存在于域与域之间,目的是为了实现跨 域(即跨越安全边界)的访问。 域信任关系使得一个域中的用户可由另一域中的 域控制器进行验证,从而使得用户能去访问另一个域 中的资源。 活动目录的基本概念
活动目录的基本概念 所有域信任关系中只有两种域:信任关系域和被 信任关系域。 例如: 域A信任域B,则域B中的用户可以通过域A中的 域控制器进行身份验证后访问域A中的资源。 本例中,域B被域A信任,域A信任域B,其结果就 是域B中用户能实现跨越域A的安全边界访问域A中资 源
所有域信任关系中只有两种域:信任关系域和被 信任关系域。 例如: 域A信任域B,则域B中的用户可以通过域A中的 域控制器进行身份验证后访问域A中的资源。 本例中,域B被域A信任,域A信任域B,其结果就 是域B中用户能实现跨越域A的安全边界访问域A中资 源。 活动目录的基本概念
活动目录的基本概念 域信任关系按以下特征进行描述: 单向 单向信任是域A信任域B的单一信任关系。所有 的单向关系都是不可传递的,并且所有的不可传递信 任都是单向的。常见的单向信任关系有不同树林中的 Windows2000域、 Windows nt40域、 Kerberos v5领域。 双向 Windows2000树林中的所有域信任都是双向可传 递信任。建立新的子域时,双向可传递信任在新的
▪ 域信任关系按以下特征进行描述: ➢ 单向 单向信任是域 A 信任域 B 的单一信任关系。所有 的单向关系都是不可传递的,并且所有的不可传递信 任都是单向的。常见的单向信任关系有:不同树林中的 Windows 2000 域 、Windows NT 4.0 域 、 Kerberos V5 领域。 ➢ 双向 Windows 2000 树林中的所有域信任都是双向可传 递信任。建立新的子域时,双向可传递信任在新的 活动目录的基本概念
活动目录的基本概念 子域和父域之间自动建立。 可传递 Windows2000树林中的所有域信任都是可传递的 。可传递信任始终为双向,此关系中的两个域相互信任 可传递信任不受信任关系中的两个域的约束。每次 当用户建立新的子域时,在父域和新子域之间就隐含地 (自动建立起双向可传递信任关系。这样,可传递信任 关系在域树中按其形成的方式向上流动,并在域树中的 所有域之间建立起可传递信任
子域和父域之间自动建立。 ➢ 可传递 Windows 2000 树林中的所有域信任都是可传递的 。可传递信任始终为双向,此关系中的两个域相互信任 。 可传递信任不受信任关系中的两个域的约束。每次 当用户建立新的子域时,在父域和新子域之间就隐含地 (自动)建立起双向可传递信任关系。这样,可传递信任 关系在域树中按其形成的方式向上流动,并在域树中的 所有域之间建立起可传递信任。 活动目录的基本概念