信任

信任是在域之间建立的关系,可以使一个域中的用户由其他域中域控制器进行身份验证。

Windows NT 中的信任

Windows NT 4.0 操作系统中,信任被限制在两个域之间,并且信任关系是单向不可传递且信任。在下图中,指向受信域的直箭头表示单向信任。

信任路径的方向

Windows 2000 Server、Windows Server 2003、Windows Server 2008 和 Windows Server 2008 R2 操作系统中的信任

Windows 2000 Server、Windows Server 2003、Windows Server 2008 和 Windows Server 2008 R2 林中的所有信任都是双向可传递信任。因此,具有信任关系的两个域都是可信域。如下图所示,这表示如果域 A 信任域 B,且域 B 信任域 C,则域 C 中的用户可以访问域 A 中的资源(如果这些用户被分配了适当的权限)。只有 Domain Admins 组中的成员才能管理信任关系。

域树中的可传递信任

信任协议

运行 Windows Server 2008 或 Windows Server 2008 R2 的域控制器使用以下两个协议之一对用户和应用程序进行身份验证:Kerberos 版本 5 (V5) 协议或 NTLM。对于运行 Windows 2000、Windows XP Professional、Windows Server 2003、Windows Server 2008 或 Windows Server 2008 R2 的计算机,Kerberos V5 协议是默认协议。如果事务中的任何计算机都不支持 Kerberos V5 协议,则使用 NTLM 协议。

使用 Kerberos V5 协议,客户端可请求从域控制器帐户域中的域控制器到信任域中的服务器的票证。此票证由受客户端和服务器信任的媒介颁发。客户端为信任域中的服务器提供此受信任票证以进行身份验证。有关详细信息,请参阅 Kerberos V5 身份验证 (https://go.microsoft.com/fwlink/?LinkId=81795)(可能为英文网页)。

客户端尝试使用 NTLM 身份验证访问其他域中的服务器上的资源时,包含资源的服务器必须与客户端帐户域中的域控制器联系以验证帐户凭据。

受信域对象

受信域对象 (TDO) 是用于代表特定域中的每个信任关系的对象。每次建立信任时,在受信域(系统容器中)中创建并存储唯一的 TDO。在 TDO 中表示属性,如信任可传递性、类型和相应的域名称。

林信任 TDO 存储其他属性以识别其伙伴林中的所有受信任命名空间。这些属性包括域树名称、用户主体名称 (UPN) 后缀、服务主体名称 (SPN) 后缀和安全标识符 (SID) 命名空间。

有关域信任的详细信息,请参阅“信任技术”(https://go.microsoft.com/fwlink/?LinkId=92695)(可能为英文网页)。有关信任关系的详细信息,请参阅“设计资源身份验证策略”(https://go.microsoft.com/fwlink/?LinkId=92696)(可能为英文网页)。

其他参考