树根信任混乱

树根信任混乱

好吧,这可能很简单,但我可以发誓我在一本或另一本与 Active Directory 相关的书中读到过它,现在我就是无法摆脱它,尽管似乎没有其他来源证实它,而且它声音不必要,也是错误的。据我所知,这很可能来自一些可以追溯到 AD 早期测试版的文档。

声明是,当您为某个域(例如“france.company.lcl”)创建一个子域(例如“accounting.france.company.lcl”)时,而该域本身已经是树根域(例如“company.lcl”)的子域,Active Directory 不仅会在这两个父域和子域之间创建双向传递信任,还会在下级子域和上级 2 级树根域之间直接创建自动双向传递信任。因此,下级子域和树根域之间的信任不仅是隐式的(通过中间直接父域传递),而且更像是一种快捷信任。

如果有人能用强有力的声明把这件事从我的脑海中抹去,那就太好了。:-)

答案1

根据这篇 Technet 文章,默认的树内信任架构是根植和传递的,而不是全网状的。

在此处输入图片描述

我所信任的 Lowe-Norris 编写的 Windows 2000 Active Directory 副本确实包含一些令人困惑的语言,这些语言可能会被误解为暗示建立了全网状信任系统,也许这就是您感到困惑的根源?

答案2

AD 信任在 AD 中由 TDO(trustedDomain 对象)表示。如果您在 ADSIEdit 中查看域分区,您将看到子域的直接父域及其子域(如果存在)都存在 TDO。您不会看到任何快捷信任的 TDO,因为它们不会在子域之间自动创建。信任路径是“垂直”的。

相关内容