信任 Active Directory

自从 Windows 2000 Server 中引入 Active Directory 技术以来，IT 管理员就一直在使用和围绕 Active Directory 进行工作。 Windows 2000 Server 于 2000 年 2 月 17 日发布，但许多管理员在 1999 年末开始使用 Active Directory，当时 Active Directory 于 1999 年 12 月 15 日发布到生产环境 (RTM)。

什么是 AD 信任？

信任是林和/或域之间的关系。

在 AD 林中，所有域都相互信任，因为添加每个域时会创建双向传递信任。这允许身份验证从一个域传递到同一林中的任何其他域。

您也可以与其他 AD DS 林和域或 Kerberos v5 领域创建林外信任。

回到Windows NT 4.0时代，没有森林或层次结构。如果您有多个域，则必须在它们之间手动创建信任。使用 Active Directory，您可以在同一林中的域之间自动建立双向传递信任。回到 Windows NT 4.0，您还必须使用 NetBIOS 来建立信任！

幸运的是，事情已经取得了长足的进步，现在我们有了额外的信任功能，特别是通过选择性身份验证和 SID 过滤来保护信任。

域中的每个信任都作为trustedDomain 对象(TDO) 存储在系统容器中。因此，要查找并列出名为 contoso.com 的域中的所有信任和信任类型，请运行 Get-ADObject -SearchBase “cn=system, dc=contoso,dc=com” -筛选器 * -属性 trustType |其中 {$_.objectClass -eq“trustedDomain”} |选择名称、信任类型 Windows PowerShell 命令。

trustType 属性有 4 个有效值。但是，只有值 1（表示与 NT 域的信任）和值 2（表示与 Active Directory 域的信任）是常见的。 trustedDomain 对象中存储了许多有关信任的其他有用信息。

在名为 contoso.com 的域中，运行 Get-ADObject -SearchBase “cn=system,dc=contoso,dc=com” -Filter * -Properties * |其中 {$_.objectClass -eq“trustedDomain”} | FL Windows PowerShell 命令，用于查看所有信任属性。

您还可以通过运行Get-ADTrust -Filter * 命令来查看信任的许多核心属性。

信托财产

下表显示了信任属性以及每个属性的说明。

属性描述

有效值为双向、入站或出站。请注意，该方向是相对于您运行查询的域而言的。

我认为这是微软的拼写错误，因为它实际上应该是“DisallowTransitivity”。可以根据信任是否不允许传递性将其设置为 True 或 False。

受信任域对象的 DN。

当林信任可传递时，此设置为 True；当林信任不可传递时，此设置为 False。

当同一林中的域之间存在信任时，此设置为 True；当不同林中的域之间存在信任时，此设置为 False。

有效值为 True 和 False。

有效值为 True 和 False。

属于信任一部分的域的名称，而不是运行查询的域的名称。

这被设置为 trustDomain。

信托的全球唯一标识符。例如 de207451-51ed-44cd-4248-85ad9fcb2d50。

如果信任配置为选择性身份验证，则设置为 True，否则设置为 False。

如果林信任配置为选择性身份验证，则设置为 True

当带有隔离功能的 SID 过滤用于信任时设置为 True。仅用于外部信托。

设置为信任根的 DN。在林信任中，林的根域的 DN 是源。

设置为信任对方的域名。

如果在出站林信任上启用了 Kerberos 完全委派，则设置为 True。默认值为 False。

设置为指示信任配置的数值。例如

无证

无证

对于 Active Directory 林和域的信任，设置为 Uplevel；对于 Active Directory 之前的域（例如 NT 4 域），设置为 DownLevel；对于 Unix/Linux 领域的信任，设置为 Kerberos 领域。

如果只有 Windows 2000 及更高版本的操作系统可以使用信任链接，则设置为 True。

对于使用 AES 加密密钥的领域信任，设置为 True。

对于使用 RC4 加密密钥的领域信任设置为 True。

从可扩展性的角度来看，您应该注意有关信任的一些事项：

• Kerberos 身份验证的最大信任数。

如果受信任域中的客户端尝试访问信任域中的资源，并且真实路径具有超过 10 个信任链接，则客户端无法进行身份验证。在具有大量信任和长信任路径的环境中，您应该实施快捷信任以提高性能并确保 Kerberos 身份验证功能。

• 2,400 次信任后，性能恶化。

在非常大且复杂的环境中，您可能拥有大量的信任。达到 2,400 个信任后，添加到环境中的任何其他信任都可能会显着影响信任的性能，尤其是与身份验证相关的性能。

有关 Active Directory 基础的更多信息，您可以在我们的 AD 初学者教程中找到。