AD活动目录域信任关系图解

AD活动目录域信任关系图解

有时候要给学员们讲解AD活动目录域信任关系，所以特地写了这篇文章来说明信任是在域之间建立的关系。AD活动目录域信任关系就是可以使一个域中的用户由其他域中域控制器进行身份验证。

一个林中的域之间的所有 Active Directory 信任都是双向的、可传递的信任。如下图所示:域 A 信任域 B，且域 B 信任域 C，则域 C 中的用户可以访问域 A 中的资源（如果这些用户被分配了适当的权限）.

只有 Domain Admins 组中的成员才能管理信任关系.

信任协议

域控制器使用两种协议之一对用户和应用程序进行身份验证：Kerberos version 5 (V5) 协议或 NTLM。Kerberos V5 协议

是 Active Directory 域中的计算机的默认协议。如果事务中的任何计算机都不支持 Kerberos V5 协议，则使用 NTLM 协议.

信任方向

单向信任: 单向信任是在两个域之间创建的单向身份验证路径。这表示在域 A 和域 B 之间的单向信任中，域 A 中的用户可以访问域 B 中的资源。但是域 B 中的用户无法访问域 A 中的资源。单向信任可以是不可传递信任，也可以是可传递信任，这取决于创建的信任类型。

双向信任: Active Directory 林中的所有域信任都是双向的、可传递的信任。创建新的子域时，系统将在新的子域和父域之间自动创建双向可传递信任。在双向信任中，域 A 信任域 B，并且域 B 信任域 A。这表示可以在两个域之间双向传递身份验证请求。双向关系可以是不可传递的，也可以是可传递的，这取决于所创建的信任类型。

信任类型

包括外部信任(不可传递)、快捷方式信任(可传递)、领域信任（可传递或不可传递）、林信任(可传递)。

下面以实例讲解配置两个域之间的信任关系。

域A:

域B

要求域A <—> 域B 两个域相互信任，部分用户资源互访。

配置双向信任关系:

登录两台DC中的任一台，这里以登录域A的DC为例:

开始->运行输入 domain.msc，打开活动目录域和信任关系控制台：定位到域名部分，右击”属性”,切换到”信任选项卡”:

【新建信任】，弹出新建信任向导：

可以看到，信任关系有如下几种类型，本域和同林或者异林中的域、本域和NT4.0域、本域和kerberos V5领域、本域和另一个林。

信任名称：这里指键入要建立信任关系的域、林或者领域的名称

信任类型：外部信任和林信任。

这里选择林信任，林信任使得另一个林中的各个域中的用户都可以在本林中可用域控制器汇总得到身份验证。相对外部信任而言，林信任放开的范围很大，两个林之间。

双向：域A <—->域B 相互信任，可以互访。

单向(内传): 域A <—- 域B，域B为信任域，域A为受信域，A可访问B，B不能访问A。

单向(外传): 域A —->域B，域A为信任域，域B为受信域，B可访问A，A不可访问B。

信任方: 选择”此域和指定的域”

要创建域信任关系，至少是domain admins组的权限；

这里输入在要建立信任关系的对方域或者林中有权限的凭证

新建的信任摘要，可按【上一步】进行更改，检查无误，直接【下一步】

确认”传出”和”传入”信任后，双方的信任关系就创建完成了，不需要再登录另一台DC创建彼此信任了。

回到”属性”切换到”信任”选项卡，发现”外向信任”和”内向信任”中都有了对方林或者域的名称。

登录另一台DC，查看信任关系:

可以看到，信任关系配置完成了，下面进行验证。验证信任关系及资源互访:

域A的DC上 ADUC中新建用户

域B 的DC上 ADUC中新建用户，如下图：

新建一个共享目录，设置域B的用户example读取权限；

新建共享目录example，包含子文件example.txt，设置域A的用户fengdian读取权限；

1.fengdian用户登录主机，并访问公共区 :

可以看到，可是顺利打开目录及文件。说明“域A<—- 域B”已没有问题。

2.example 用户登录主机，并访问 :

也可以正常访问目录及文件。说明“域 A —-> 域B”已没有问题

经过测试，可以确认域A <—–> 域B 信任关系已经形成。

通常情况下，测试环境和生产环境更多的是单向信任。这样在创建信任指定信任方向时，只选择单向内传或者单向外传就可以实现了。

Windows域信任关系建立全攻略

Windows域信任关系建立全攻略 操作环境：windows 2000的两个独立域https://www.wendangku.net/doc/351475003.html, 与https://www.wendangku.net/doc/351475003.html,。https://www.wendangku.net/doc/351475003.html,的网段为192.168.0.x，https://www.wendangku.net/doc/351475003.html, 域管理所在的IP为192.168.0.1，机器名为aa。 https://www.wendangku.net/doc/351475003.html,的网段为192.168.3.x，https://www.wendangku.net/doc/351475003.html,域管理所在的IP为192.168.3.1，机器名为bb。 两个域用VPN建立好连接，可互相ping通。

操作目的：建立互相信任的关系。 操作过程： 1、建立DNS。DNS必须使用的，而不能使用公网的，因为要对域进行解析。由于在https://www.wendangku.net/doc/351475003.html,和https://www.wendangku.net/doc/351475003.html, 上的步骤相同，故只以https://www.wendangku.net/doc/351475003.html,为例。 在192.168.0.1上打开管理工具- DNS- 连接到计算机- 这台计算机。在其正向搜索区域里新建区域- Active Directory集成的区域，输入https://www.wendangku.net/doc/351475003.html,，区域

文件就叫https://www.wendangku.net/doc/351475003.html,.dns好了，然后完成。 右击新建的https://www.wendangku.net/doc/351475003.html,，选择属性- 常规，把允许动态更新改变为是。 然后在正向搜索区域里新建区域- 标准辅助区域，输入https://www.wendangku.net/doc/351475003.html,，IP地址输入192.168.3.1，然后完成。 右击新建的https://www.wendangku.net/doc/351475003.html,，选择从主传输。 在反向搜索区域里新建区域- Directory集成的区

域，输入网络ID192.168.0，然后完成。 右击新建的192.168.0.x Subnet，选择属性- 常规，把允许动态更新改变为是。 现在https://www.wendangku.net/doc/351475003.html,的DNS已经建立好了，https://www.wendangku.net/doc/351475003.html,的也按此建立。 在192.168.0.1上进行测试，注意：DNS的传输可能需要一定的时间，最好在半个小时到一个小时后进行测试。

信任关系解析

信任关系 不同域之间要能互访，需要域之间存在信任关系。信任关系分为可传递信任和非可传递信任。 可传递信任：任何一个域被加入到域目录树后，这个域都会自动信任父域，同时父域也会自动信任这个新域，而且这些信任关系具备双向传递性。 为了解决用户跨域访问资源的问题，可以在域之间引入信任，有了信任关系，域A的用户想要访问B域中的资源，让域B信任域A就行了。信任关系分为单向和双向，如图所示。图中①是单向的信任关系，箭头指向被信任的域，即域A信任域B，域A称为信任域，域B被称为被信任域，因此域B的用户可以访问域A中的资源。图中②是双向的信任关系，域A信任域B的同时域B也信任域A，因此域A的用户可以访问域B的资源，反之亦然。 在域树中，父域和子域的信任关系是双向可传递的，因此域树中的一个域隐含地信任域树中所有的域。 另一种可传递信任不是默认的，可以通过在不同林根域之间建立信任关系来实现，如P53图2-71。 在域之间建立信任关系时，注意信任传递带来的隐含信任，如图2-72。 非可传递信任： 非可传递信任的域之间必须通过手动创建信任，才能实现域间资源访问。可以创建的有： ●Server 2003/2008域与NT域 ●Server 2003/2008域与另一个林中的Server 2003/2008域（当两个林之间没有林信 任关系时） ●Server 2003/2008域与2000域 ●Active Directory域与Kerberos V5域

操作：为两个域创建信任关系（TrustRelationship.exe）。 在两域间创建信任关系，需要满足能对两域进行解析。所以首先在DNS服务器上进行区域的创建，并允许区域传送。参考P55设置信任关系。通过对域间资源访问进行验证。

批处理ie相关操作(添加信任-启用activex-关闭弹窗阻止)讲课教案

批处理I E相关操作(添加信任网站-启用A c t i v e X-关闭弹窗阻 止)

批处理添加信任网站启用ActiveX 关闭弹窗阻止 rem 将以下保存到添加信任网站.bat 文件 rem 创建自解压文件,将此添加信任网站.bat文件解压 到 %USERPROFILE%\Favorites\办公网站\ 下(C盘根目录有时不可写) rem 受信站点配置开始 rem datong reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\In ternet Settings\ZoneMap\Domains\https://www.wendangku.net/doc/351475003.html," /v http /t REG_DWORD /d 0x00000002 /f rem 受信站点配置结束 rem 主页 reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d https://www.wendangku.net/doc/351475003.html, /f reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Secondary Start Pages" /t REG_SZ /d https://www.wendangku.net/doc/351475003.html,/ /f del fosoft.reg echo Windows Registry Editor Version 5.00 >> fosoft.reg rem Activex配置开始

Windows Server 2003活动目录与域控制器

实验二Windows Server 2003活动目录与域控制器 [注意事项]： 1、在虚拟机软件里自己安装的网络操作系统中做实验。 2、有两种方式打开安装或删除活动目录的界面： （1）用命令“开始——管理工具——配置您的服务器向导”（Server 2003才有）。 （2）用命令“开始——运行——输入‘dcpromo’”。 3、密码可以设置与5.1管理员相同的密码或设置另外的密码，并且一定要书面记住密码。 4、安装结束后出现配置DNS服务器的选项，选择让系统自动配置。 5、安装活动目录成功后的标志见下图5.19。 6、安装好活动目录后，请不要再次运行“dcpromo”命令，否则会删除已安装的活动目录。 一、实验目的 学习活动目录的安装和删除（实验只要求安装）。 二、实验内容 1．活动目录的安装（升级） 2．活动目录的删除（降级）——理论上掌握，具体实验不要做 三、实验理论基础 活动目录是Windows Server 2003网络中提供的目录服务。目录服务也是一种网络服务，它把网络中的资源信息集中存储起来，并将其提供给用户和应用程序使用。它提供了一种一致化的命名、描述、定位、管理和设置相应安全的方法。通过提供通用的网络资源接口和直观的网络资源访问界面，使用户能够以一致的方式管理自己的整个网络。 由于活动目录中网络资源信息集中存放和管理，使得网络的物理结构和网络所使用的传输协议对用户来讲变得透明起来。当用户访问网络时，无需了解资源的物理位置和连接方法，就可以访问资源。这对于多数缺乏网络专业知识的网络普通用户来说，显得格外有意义。使管理员和一般用户可以方便地查找和使用网络信息，同时也更便于网络管理员有效的管理网络。 活动目录是由组织单位（OU）、域（Domain）、域树（Domain Tree）和森林（Domain Forest）组成的层次结构，它存储有关计算机网络对象的信息。例如，用户、组、计算机、组织、帐户、共享资源和打印机等等。 域是网络对象的分组，如用户、组和计算机。它是最基本的管理单元，同时也是最基层的容器，它可对用户、计算机等基本数据进行存储，域中的对象均为该域的成员。在一个AD中可以根据需要建立多个域。 在域中作为服务器的计算机可以充当成员服务器或域控制器中的任何一个角色，而不在域中的服务器则为独立服务器。 成员服务器是属于某个域，并安装了Windows 2000Server家族或Windows Server 2003家族的操作系统的计算机。该计算机不是域控制器，不处理帐户登录、不参与活动目录的复制，也不存储域安全策略信息。成员服务器通常用作以下几种类型的服务器：文件服务器、应用程序服务器、数据库服务器、Web服务器、证书服务器、防火墙和远程访问服务器。

域和信任关系

维护活动目录 维护活动目录 议程： 维护活动目录介绍 备份活动目录数据库 恢复活动目录数据库 一、维护活动目录介绍 二、备份活动目录数据库 1、活动目录数据库备份操作 为了避免活动目录数据库失效而引起的错误，因此当活动目录正常工作时，需要对活动目录进行备份。 不能对活动目录单独备份，只能通过备份系统状态对活动目录进行备份。 系统状态组件组件描述 活动目录活动目录信息，只存在于DC的系统状态数据中 系统启动文件Windows server 2003操作系统启动时使用 com+类注册数据库类注册数据库是关于组件服务应用程序的数据库 注册表存储了该计算机的配置信息 SYSVOL有关组策略模板和日志命令的共享文件夹信息 认证服务数据库当Windows server 2003计算机是认证服务器时用来验证用户身份的信息 2、备份活动目录数据库时的注意事项 注意事项如下： # 须具有备份权限。默认情况下，管理员组、备份操作员组和服务器操作员组具有备份的权限。 # 活动目录不能单独备份，只能作为系统状态的一部分进行备份，而且只有DC上的系统状态才包括活动目录数据。 # 在DC联机时执行活动目录备份。 3、恢复ad数据库 # 修改目录服务还原模式的administrator密码 # 执行常规恢复 # 执行授权恢复 （1）要想恢复活动目录必须重新启动DC，在启动过程中按F8键进入高级选项菜单，然后选择“目录服务还原模式”。 在目录服务还原模式下活动目录是不能被使用的，因此可以对其进行恢复。 （2）修改目录服务还原模式的administrator密码 进入目录服务还原模式后，只有administrator帐号才可以登录。此时需要提供在安装活动目录过程中指定的目录服务还原模式的administrator的密码。而不是正常登录时的密码。 这个密码如果忘记怎么办？ 2003平台支持对该密码的修改，在2000中就回天无力了 DEMO1：如何修改目录服务还原模式下的密码： 三、恢复活动目录的方法 1、常规恢复 利用常规恢复方式可以把活动目录恢复到备份之前的状态，恢复完成后再与网络中现有的DC执行活动

IE受信任站点ActiveX启用

1.1企业端登录设置 1.1.1.添加受信任站点 我们现在用的浏览器，大多数都是IE浏览器，很多第三方浏览器，也都是用IE浏览器内核，所以我们添加受信任站点，只是在IE浏览器基础上设置，支持浏览器的版本IE6、IE7、IE8等版本的浏览器，具体操作如下： 第一步：打开IE浏览器，选择工具栏中的工具->internet选项（如图1-1） 图1-1 第二步：选择安全标签->受信任站点->站点（如图1-2）

图1-2 第三步：在站点操作界面；取消对该区域中的所有站点要求服务器验证（https：）（s）选项->添加将该网站添加到区域内->关闭（如图1-3） 图1-3 第三步：关闭对话框后，在当前画面中单击自定义级别；（如图1-4）

第四步：单击自定义级别，打开选项查找到ActiveX控件和插件；启用相应选项；（如图1-5） 图1-5 第五步：添加完成后，单击确定退出设置区域；关闭IE浏览器重新打开浏览器；判断是否 加载成功如下操作；（如图1-6）

图1-6 登录到注册用户对话框，查看下拉箭头下来选项是否显示出来，是否可以选择，如果都可以，说明系统可以正常使用； 1.1. 2.解决下拉列表问题 如果以上操作都无法打开下拉菜单，就如下操作：选择解决下拉列表问题.exe下载关 闭浏览器安装，然后在重新启动注册，查看是否可以选择下拉选项；（如图2-1） 图2-1 1.1.3.解决无法显示登录、清空、注册等按钮 这个问题主要出现在你当前IE的版本上，如果当前的版本是IE10以上的版本，需要用 兼容的模式，刷新网页才能显示出来；（如图3-1）

图3-1 1.1.4.政府端登录设置 安装客户端插件： 第一步：第一次登录生产环境（例如云南安全生产监督管理局地址：http://220.163.82.253:7006/页面左下方的“IE控件下载”，如图4-1所示。 图4-1 点击页面左下方的“控件安装说明”下载最新版。 第二步：点击“IE控件下载”连接提示，点击“运行”按钮，如图4-2所示。

管理员操作手册 AD域控及组策略管理 CTO

AD域控及组策略管理 目录一、Active Directory(AD)活动目录简介 1、工作组与域的区别........................................ 2、公司采用域管理的好处.................................... 3、Active Directory(AD)活动目录的功能...................... 二、AD域控（DC）基本操作.................................... 1、登陆AD域控............................................. 2、新建组织单位（OU）...................................... 3、新建用户................................................ 4、调整用户................................................ 5、调整计算机.............................................. 三、AD域控常用命令.......................................... 1、创建组织单位：(dsadd)................................... 2、创建域用户帐户(dsadd)................................... 3、创建计算机帐户(dsadd)................................... 4、创建联系人(dsadd)....................................... 5、修改活动目录对象（dsmod）............................... 6、其他命令（dsquery、dsmove、dsrm）....................... 四、组策略管理 .............................................. 1、打开组策略管理器........................................ 2、受信任的根证书办法机构组策略设置........................ 3、IE安全及隐私组策略设置 .................................

AD活动目录域信任关系图解

AD活动目录域信任关系图解 有时候要给学员们讲解AD活动目录域信任关系，所以特地写了这篇文章来说明信任是在域之间建立的关系。AD活动目录域信任关系就是可以使一个域中的用户由其他域中域控制器进行身份验证。 一个林中的域之间的所有 Active Directory 信任都是双向的、可传递的信任。如下图所示:域 A 信任域 B，且域 B 信任域 C，则域 C 中的用户可以访问域 A 中的资源（如果这些用户被分配了适当的权限）. 只有 Domain Admins 组中的成员才能管理信任关系. 信任协议 域控制器使用两种协议之一对用户和应用程序进行身份验证：Kerberos version 5 (V5) 协议或 NTLM。Kerberos V5 协议 是 Active Directory 域中的计算机的默认协议。如果事务中的任何计算机都不支持 Kerberos V5 协议，则使用 NTLM 协议.

信任方向 单向信任: 单向信任是在两个域之间创建的单向身份验证路径。这表示在域 A 和域 B 之间的单向信任中，域 A 中的用户可以访问域 B 中的资源。但是域 B 中的用户无法访问域 A 中的资源。单向信任可以是不可传递信任，也可以是可传递信任，这取决于创建的信任类型。 双向信任: Active Directory 林中的所有域信任都是双向的、可传递的信任。创建新的子域时，系统将在新的子域和父域之间自动创建双向可传递信任。在双向信任中，域 A 信任域 B，并且域 B 信任域 A。这表示可以在两个域之间双向传递身份验证请求。双向关系可以是不可传递的，也可以是可传递的，这取决于所创建的信任类型。 信任类型 包括外部信任(不可传递)、快捷方式信任(可传递)、领域信任（可传递或不可传递）、林信任(可传递)。 下面以实例讲解配置两个域之间的信任关系。 域A: 域B 要求域A <—> 域B 两个域相互信任，部分用户资源互访。 配置双向信任关系:

windows添加信任站点和开启所有activex控件

Windows 添加信任站点和开启所有 ActiveX控件 Internet 选项 事情是这样的，一位朋友是做软件支持的，可是他和我说每次支持都是 要先手动去ie添加信任站点，然后是自定义级别然后把所有的 件全部启动。如果遇到一个不太懂电脑的人还好，但是如果遇到10来个，那重复操作真的很累的，所以我决定帮他搞个脚本自动化，我们先是在ie 中添加信任站点，然后导出注册表。 windows添加信任站点和开启所有activex 控件 诸为不同区域的朕b肉容眉定安全诰晝任〕 InUx-aet 本地夷信任的站 Intrsnst 点 受倩任的站点 此区感包含您信任不会搞窖您餡计 即乳或翌矗的冋站° 谨医域的安至级别（L） 自走文 g卡义设畳 -奏気故设置“请单击杯自越端. -要便用推舂的设置，请单击“默i 目足义赣别①）… 确定 activex 控

炖址?I⑥D：讣劭ku"堂丽傭加信任站亶和幵启舶育桎件.ktnl ! J 郴助谍护廊的安全?*讥m就E驾1叶肝已经限制此文件显示可能访回燃的计算机的活动内容。单击此处査看■选顶 Win dows Registry Editor Versio n 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Wi ndows'Curre ntVersio n\l nternet Setti ngs\Z on eMap'Ra nges]

@="" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\I nternet Settings\ZoneMap\Ranges\Range1] "https"=dword:00000002 ":Range"="200.0.0.1" 后来终于研究好了代码如下： 添加信息站点及将指定IP 添加到本地Intranet 中, "*"=dword:00000002 表示受信任的站点区域"*"=dword:00000001 表示本地Intranet 区域1001 下载已签名的ActiveX 控件 1004 下载未签名的ActiveX 控件 1200 运行ActiveX 控件和插件 1201 对没有标记为安全的ActiveX 控件进行初始化和脚本 运行 1405 对标记为可安全执行脚本的ActiveX 控件执行脚本2201 ActiveX 控件自动提示**