两个域之间必须拥有信任关系(trust relationship),才可以访问对方域内的资源。而任何一个新的AD DS域被加入到域树后,这个域会自动信任其上一层的父域,同时父域也会自动信任此新子域,而且这些信任关系具有双向传递性(two-way transitive)。由于此信任工作是通过Kerberos security protocol来完成的,因此也被称为Kerberos trust。
- 域A的用户登录到其所隶属的域后,这个用户是否能够访问域B的资源呢?
- 只要域B信任域A就没有问题。
我们以图1-4为例来解释双向传递性,图中域A信任域B(箭头由A指向B)、域B又信任域C,因此域A会自动信任域C;另外域C信任域B(箭头由C指向B)、域B又信任域A,因此域C会自动信任域A。结果是域A和域C之间也就自动地建立起双向的信任关系。
所以当任何一个新域加入到域树后,它会自动双向信任这个域树内所有的域,因此只要拥有适当权限,这个新域内的用户便可以访问其他域内的资源,同理其他域内的用户也可以访问这个新域内的资源。
若有收获,就点个赞吧
0 人点赞
