域林之间的信任关系

域林之间的信任关系使用WIN2003创建的AD(域林) 中的各个域之间的信任关系默认就是双向信任可传递的。那么，如果企业的应用中如果出现了两个林或更多的林时，还要进行相互的资源访问时，我们该怎么办?

域林之间的信任关系

使用WIN2003创建的AD(域林) 中的各个域之间的信任关系默认就是双向信任可传递的。那么，如果企业的应用中如果出现了两个林或更多的林时，还要进行相互的资源访问时，我们该怎么办? 因为默认只是同在一个域林中才能双向信任可传递，两个域林(AD)间没有这个关系，那么就需要我们手动来配置域林之间的信任关系，从而来保证不同域林中的资源互访。比如说企业之间的兼并问题，两个公司之前都使用的是MS 的AD 来管理，那么大家可想而知这两家企业之前肯定是两个域林，那么现在兼并后，如何让这两个域林之间能够建立信任关系吗? 都有什么方法呢? 那今天我们就来学习一下如何创建域林之间的信任关系! 在一个林中林之间的信任分为外部信任和林信任两种：

⑴ 外部信任是指在不同林的域之间创建的不可传递的信任

⑵ 林信任是Windows Server 2003林根域之间建立的信任，为任一域林内的各个域之间提供一种单向或双向的可传递信任关系。

1. 创建外部信任

创建外部信任之前需要设置DNS 转发器：在两个林的DC 之间的DNS 服务器各配置转发器： 在aptech.com 域中能解析benet.net ，在benet.net 域中能解析aptech.com

⑴ 首先我们在aptech.com 域的DC 上配置DNS 服务器设置转发器，把所有benet.net 域的解析工作都转发到192.168.6.6这台机器上：

1

配置后DNS 转发后去PING 一下benet.net ，看是否连通，如果通即可：

然后再在另一个域benet.net 中的DC 的DNS 服务器也同样设置DNS 转发，把aptech.com 的转发到192.168.6.1的机器上来：

2

同样PING 一下aptech.com ，看是否能PING 通：

⑵ 准备工作做好后，就开始创建外部信任：

首先在aptech.com 域的DC 上打开"AD 域和信任关系" 工具，在aptech.com 域的" 属性" 中的" 信任" 选项卡：

3

单击" 新建信任" ：

输入信任名称(这里要注意是你这个域要信任的域) ：

4

选择" 单向：外传" ：

双向：本地域信任指定域，同时指定域信任本地域

单向：内传：指定域信任本地域(换句话说就是，你信任我的关系)

单向：外传：本地域信任指定域(例如，aptech.com 域信任benet.net 域，我信任你的关系)

注意：由于信任关系是在两个域之间建立的，如果在域A(本地域) 建立一个" 单向：外传" 信任，则需要在

5

域B(指定域) 必须建立一个" 单向：内传" 信任. 但如果选择了" 这个域和指定的域" 单选按钮，就会在指定域自动建立一个" 单向：内传" 的信任!

输入指定域中有管理权限的用户名和密码：

6

7

⑶ 创建完成后，验证方法可以使用： 在aptech.com 域的DC 上查看信任关系：

8

在benet.net 域的DC 上查看信任关系：

还有一种验证方法就是被信任域的用户可以到信任域的计算机上登录，在信任域的计算机上的登录对话框

9

中有被信任域名，说明可以输入被信任域的帐户登录(前提是要赋予该帐户登录的权限) ：

但是否能登录还是要看权限，因为默认情况下是不能登录到DC 的，那么在本地域的" 域控制器安全策略" 中打开" 安全策略-" 本地策略"-"" 用户权限分配"-" 允许在本地登录" 中添加被信任域的管理员即可!

⑷ 林之间的外部信任的特点：

手工建立

林之间的信任关系需要手工创建

信任关系不可传递

林中的域的信任关系是不可传递的

例如，域A 直接信任域B ，域B 直接信任域C ，不能得出域A 信任域C 的结论

信任方向有单向和双向两种

单向分为内传和外传两种

内传指指定域信任本地域

外传指本地域信任指定域

⑸ 创建好林中的信任关系后可以进行跨域访问资源

应用AGDLP 规则实现跨域访问

具体规则是：

① 被信任域的帐户加入到本域的全局组

② 被信任域的全局组加入到信任域的本地域组

③ 给信任域的本地域组设置权限

2. 创建林信任

外部信任为不同域之间跨域访问资源提供了方法，但如果两个林中有许多域，要跨域访问资源就需要常见很多个外部信任，有没有简单方法呢? 当然是有的，那就是只用在林根域之间建立林信任就不需要创建多个外部信任，因为林信任是可传递的。

创建林信任与创建外部信任的方法类似，不同的是在创建林信任之前要升级林功能级别为Windows Server 2003模式。(解释一下，在WIN2003中创建的域模式共有三种，NT 混合模式，WIN2000本机模式和WIN2003纯模式，域模式是用来为了兼容老版本操作系统的域控制器，而限制某些新的功能。) 这是创建林信任的前提条件。升级林功能级别之前，需要将林中所有域的域功能级别设置为WIN2000模式或WIN2003模式。 10