活动目录信任管理与故障排除全解析
1. 活动目录信任概述
在活动目录(AD)环境中,信任关系起着至关重要的作用,它能够让不同的域之间实现资源共享和用户访问。常见的信任场景是当电子邮件系统托管在单独的域(可能是供应商或云服务提供商的域)中时,需要创建与该域的信任关系。
信任主要分为外部信任和森林信任两种类型:
-外部信任:用于在当前AD环境中的域与外部域之间建立信任。例如,要让域C的用户能够访问外部域H的资源,反之亦然,就可以通过外部信任来实现。不过,外部域的用户无法访问森林中其他域的资源,远程域也没有自动访问其他域(包括子域)的权限。
-森林信任:当需要授予信任双方多个域的资源访问权限时,使用森林信任更为便捷。森林信任是在森林的根域之间创建的单一信任关系,能实现跨两个森林的资源访问。常见于企业并购场景,在过渡期间需要管理两套IT系统时使用。
2. 信任相关术语
为了更好地理解和管理信任关系,需要掌握一些相关术语:
|术语|含义|
| ---- | ---- |
|传递信任|在AD森林中,自动创建的信任通常是传递的。即如果域A信任域B,域B信任域C,那么域A也信任域C。不过,在创建信任时也可以将其设置为非传递信任,但后续管理会更复杂。需要定期使用AD域和信任工具(ADDT)检查信任的传递性,以确保安全。|
|单向信任|域A信任域B,但域B不信任域A。常见于与外部域创建信任的场景,比如Exchange服务器托管在外部森林时,只需包含Exchange服务器的域信任包含用户账户的域,无需反向信任。|
|双向信任|
