NT服務(wù)器：域的高級管理

NT服務(wù)器域的高級管理：
　　
1.信任關(guān)系：在域中，所有的計算機賬戶都集中在PDC上，可以進行集中的管理與控制。那么，當用戶要跨域訪問時，如何進行安全控制呢？方法有兩種，一種是給每個用戶在每個域中分別開設(shè)賬戶，這樣不利于集中管理。另一種方法就是建立域與域之間的信任關(guān)系，將各域的賬戶集中到一個域中來管理。
　　
信任關(guān)系是兩個域之間的通信連接，當連接建立后，其中一個域允許另外一個域的用戶訪問自己的資源卻不必在本域擁有賬戶與口令，安全驗證委托另外一個域進行。當網(wǎng)絡(luò)中各域之間建立適當?shù)男湃侮P(guān)系以后，用戶憑借一個賬戶就可以訪問所有的域，網(wǎng)絡(luò)中所有的計算機都可以識別這個用戶賬戶。用戶只需登錄一次即可訪問網(wǎng)上所有的計算機。在管理上，信任關(guān)系將兩個獨立的域連接為一個管理單元，賬戶管理可以集中在一個域中進行，不必分散到各個域中。
　　
①兩個域之間的信任關(guān)系有兩種：
　　
單向信任關(guān)系只是一個域信任另外一個域。信任域信任被信任域中的用戶,允許被信任域中的用戶訪問信任域中的資源。
　　
雙向信任關(guān)系兩個單向信任關(guān)系，兩個域彼此信任對方。
　　
②規(guī)劃信任關(guān)系：信任關(guān)系只限于Windows NT域之間，Windows NT域與工作組之間不能建立信任關(guān)系，也不能與其它網(wǎng)絡(luò)操作系統(tǒng)之間建立信任關(guān)系。當域之間建立起信任關(guān)系之后，被信任域中的全局組可以成為信任域中本地組成員，信任域可以在域中為該本地組指定資源訪問許可和權(quán)利。在帶信任關(guān)系的多域環(huán)境中，組策略一般也是把用戶加入全局組，再將全局組加入本地組。只不過全局組在被信任域中定義，本地組在信任域中定義。信任關(guān)系之間沒有傳遞性，域A信任域B，域B信任域C，推不出域A信任域C。
　　
③創(chuàng)建信任關(guān)系：打開域用戶管理器，在菜單條中打開“策略”，選擇“委托關(guān)系”，彈出對話框。
　　
假設(shè)建立域A和域B之間的單向信任關(guān)系且為域A信任域B，則在域B的計算機上的對話框中信任域填入域A名字，在域A計算機上，在委托域中輸入域B名字。建立信任關(guān)系后，可以在域A中控制域B中的用戶對域A資源的訪問。
　　
2.域模型：域與域之間建立不同的信任關(guān)系會導(dǎo)致不同的管理效果：
　　
單域模型　　網(wǎng)絡(luò)中只有一個域，　　　網(wǎng)絡(luò)規(guī)模小，用戶數(shù)不多，
　　　　　　沒有信任關(guān)系?！　　　　】梢赃M行集中的賬戶管理和
　　　　　　　　　　　　　　　　　　　　資源訪問控制。
　　
主域模型　　多個域，所有賬戶集　　　網(wǎng)絡(luò)比較大，集中控制用戶，分散管理。
　　　　　　中在某個域（賬戶域）
　　　　　　中進行管理，其它域信
　　　　　　任這個賬戶域，稱為資
　　　　　　源域。
　　
多主域模型　用多個主域控制賬戶，　　賬戶數(shù)量特別大，超過了一個域中所能
　　　　　　資源域信任所有的賬戶　　允許的數(shù)量。
　　　　　　域，賬戶域彼此之間為
　　　　　　雙向信任。
　　
完全信任域　所有域之間都有雙向信　　賬戶和資源分散進行管理。
模型　　　　任關(guān)系。

本文由專業(yè)服務(wù)器托管——騰佑科技(http://mubashirfilms.com)提供。