win2012时代:浅谈多林信任在企业环境的应用
我们或多或少都已经了解一些信任关系,对于社会来说我们也是通过信任关系来作为联系纽带形成一个相同理念的群体,来结识朋友,香港虚拟主机,相互交流;作为类比也可以应用于windowsserveractivedirectorytrust。
windowsserveractivedirectorytrust适用于以下场合:
1.当多个公司合并成一个公司
2.两个有合作关系的公司需要进行一项项目的时候,需要相互共享应用程序时
3.域账户与与资源分别归属于不同的域的时候,采用隔离部署时
那么什么是信任,以及如何作用的?
为了理解信任的实现,基本概念是必需要了解的。
基本上,谈论的三个概念。
某些情况下,也可以扩大信任范围,让所有的域相互信任,就如上图所示,在这个图示中,最顶端的域与最下端的域之间的信任关系的建立是依靠两域之间的所有域的双向信任关系。而且默认情况下在上图中还有一个特点,父子域之间的信任会被自动创建。
2.不可传递的信任
不可传递信任,免备案空间,香港虚拟主机,是一种单向的信任类型。这种类型的双向信任是不可传递的,但是也有一种情况,如果创建两个独立的单向信任,那么他们一起也会建立一个双向的、不可传递的信任关系。非传递信任的形成条件:
2
另一个林(两个林,如果你不信任林从另一个信任的域联接其他不信任的林)
序号
主题
概念
是否传递
颜色
1
信任类型
父子域信任
是
紫色
2
根域信任
是
蓝
3
外部信任(边界领域信任)
否
红
5
林信任
是
橙
6
快捷信任
否
绿
鉴于以上图示,可以参考出如下信息:
序号
主题
概念
是否传递
分布
1
信任类型
父子域信任
是
双向
2
根域信任
是
双向
3
外部信任
否
单向或者双向
4
边界(领域)信任
可传/可不穿
单向或者双向
5
林信任
是
单向或者双向
6
快捷信任
是
单向或者双向
下面我们来看一个图示,了解实际如何使用域信任关系跨域访问资源。
在csco.v域中,当用户user1登录域中工作站PC1时,首先是通过first.csco.v的DC1验证登录票据的,在firstDC1的数据库中有user1数据,所以能够成功登录工作站PC1,那么当user1通过\\server1\words来访问second.csco.v中的server1的共享文件夹时,那么身份验证的信息就会体现域信任的价值,那么这个访问请求还是要通过票据验证,user1—–pc1—-dc1.firest.csco.v—-rootdc.csco.v—-dc1.second.csco.v—,身份验证通过后,user1就可以使用first子域的身份信息访问server的words共享文件夹内容。
本文出自 “server & security” 博客,转载请与作者联系!
切忌贪婪,恨不得一次玩遍所有传说中的好景点,