AD域和信任关系 企业10须知

2: 熟悉活动目录域以及信任控制台

信任关系是通过活动目录域以及信任控制台进行管理的。它让你可以执行下述这些基本任务：

3: 了解工具
正如Windows Server家族的绝大多数部件一样，可以使用命令行工具来进行脚本化的重复任务，或者确保信任建立的一致性。这些工具包括：

你也可以使用Windows Explorer来查看被信任域或信任森林所指派共享资源的成员关系。活动目录用户和电脑也可以提供有关活动目录目标的成员详细信息，如果它们有来自信任域和（或）信任森林成员的话。

4: 建立一个测试环境
基于你的环境和使用需求，在建立域信任时，一个小小的灾难就可以波及整个公司。但是要建立一个完全相似，完全复制多重域和森林关系的测试环境又是很困难的。如果拥有相似的域关系会利于测试，可让你对基本功能进行测试，并提供修补的手段。另外，可以同时考虑以活动目录目标作为模板，在活动域关系上进行测试，以确保获得所希望的功能，但又不会在使用真实的组，帐户或其他目标前超出范围。

5: 评估权限
当信任建立后，确保它达到了预期功能是重要的。但是务必要重新评估已配置好的信任，以确认存取方向正确。举例来说，如果域A仅需存取域B上的少量资源；那么使用一个双向信任肯定可以满足这一点；但是，此时域B上的管理员却可以对域A上的资源赋予存取权限了。确保配置好的信任满足预期的方向，类型，以及传递是极为重要的。

6: 制订信任
画出一张信任地图，用简单的方框和箭头标明信任来源域，被信任的域，以及信任是单向或是双向的。然后，在这张简单的图做好后，再标出哪个域会信任哪个域——并确定好传递关系。这张简单的图形对你手头的任务而言意义重大，可以让你一目了然的看出哪些域需要方向存取，以及什么具体的存取方向。而另一些域却只需要简单的作为一个通路，来向其他域传递信任即可。

7: 用文档记录信任关系
在企业们不断发生携手合作（或中断分手）的今天，拥有信任关系的清晰文档——并确保无需信任或域即可存取它——就显得分外重要。举例来说，如果你在域B，而你在域A的总部出售了你的部门，并中断了你的信任，那么此时你保存在域A中服务器上的文档就眼睁睁的可望不可及了。文档中应当记录下信任的类型，传递关系，方向，该信任的企业需求，信任的预期存续时间，信用，域/森林主要信息（名称，DNS，IP地址，位置，电脑名称，等等），以及相应域的联系人资料。

8: 避免建立太深的信任关系
考虑到每个人的时间利益，在多重域和森林中使用信任时，不要嵌套成员关系超过1层。嵌套成员关系可能巩固可管理的活动目录目标数目，但是要确定实际成员关系的管理工作却大大增加了。

9: 了解如何管理不同版本的Windows
当在Windows 2000和Windows Server 2003中运行活动目录的本地模式时，成员域和森林都拥有完全的功能。如果有任何NT域或成员系统在企业中存在，它们的信任入口功能将由于无法识别活动目录目标而受到限制。在这种情况下，一个常常用到的策略就是为那些没有连到共用企业架构上的系统建立“域岛”。

10: 移除过期或重复的信任
企业组织的变化常常会导致在域中留下未使用的信任。对任何已不再被使用的信任都应当及时清理掉。你应当确保现有的信任符合所需的权限和用途要求。而对信任关系进行审核，常常是对你成熟安全策略的一个有力补充。

（责任编辑:陈毅东）