域信任关系

域信任

域信任是为了解决多域环境中的跨域资源共享问题而诞生的。两个域之间必须拥有信任关系(trust relationship)，才可以访问到对方域内的资源。任何一个新的子域被加入到域树之后，这个域会自动信任其上一层的父域，同时父域也会自动信任新子域，而且这些信任关系具备双向传递性(two-way transitive)。由于此信任工作是通过Kerberos security protocol来完成的，因为也被成为 Kerberos Trust。

域信任作为一种机制，允许另一个域的用户在通过身份验证后访问本域中的资源。同时，域信任利用DNS服务器定位两个不同子域的域控制器，如果两个域中的域控制器都无法找到另一个域，那么也就不存在通过域信任关系进行跨域资源共享了。

域信任关系分为单向信任和双向信任：

• 单向信任是指在两个域之间创建单向的信任路径，即在一个方向上是信任流，在另一个方向上是访问流。在受信任域和信任域之间的单向信任中，受信任域内的用户或计算机可以访问信任域中的资源，但信任域内的用户却无法访问受信任域内的资源。也就是说，若A域信任B域，那么B域内受信任的主体可以访问A域内信任B域的资源。
• 双向信任是指两个单向信任的组合，信任域和受信任域彼此信任，在两个方向上都有信任流和访问流。这意味着，可以从两个方向在两个域之间传递身份验证请求。活动目录中的所有域信任关系都是双向可传递的。在创建子域时，会在新的子域和父域之间自动创建双向可传递信任关系。在早期的域中，域信任是单向的，从Windows Server2003开始，域信任关系变为双向的。

域信任还分为内部信任和外部信任

• 在默认情况下，使用活动目录安装向导将新域添加到域树

文章来源: xie1997.blog.csdn.net，作者：谢公子，版权归原作者所有，如需转载，请联系作者。

原文链接：xie1997.blog.csdn.net/article/details/108331711