第2章 部署子域与域树
子域和域树是Windows Server 2008的重要概念,在地理位置分散且用户数量较多的大型网络中,子域是较好的选择,域管理员可以授权子域的管理员独立管理所在的域控制器以及关联的服务,实现Active Directory的“分层管理、区域自治”的特点。域树主要应用于同一个企业完全不同的业务架构或者企业之间兼并的环境,可以通过林根信任访问不同域之间的资源。
2.1 基础知识
在部署子域和域树之前,管理员必须理解和明确有关域的相关概念以及应用范畴,这样才能更好地理解Active Directory。
2.1.1 单域
单域是指网络中只有一个域。在独立域中如果只有一台域控制器,不存在信任关系。用户登录到域中,即可访问域中所有可用的网络资源。
单域环境主要适用规模较小的网络。单域中建议部署两台域控制器,一台是域控制器,一台是额外域控制器。如果没有额外域控制器,域控制器崩溃后,域内的其他用户将不能登录该域。如图2-1所示。
图2-1 单域
2.1.2 子域
子域是根据网络规划独立管理用户、计算机等网络资源集合。子域中的管理员可以管理子域中所有的资源,并且在一次登录子域后可以根据父子信任关系访问父域中的资源。子域环境主要适用网络较大并且地理位置不同的网络。例如父域为Book.com,子域则表示为Beijing.book.com,所有以“.book.com”结尾的域均是book.com的子域,如图2-2所示。
图2-2 子域
在同一个森林中,父子域之间的信任关系,称之为父子信任。在默认情况下,当现有域中添加新子域后,默认创建父子信任关系。父子信任为双向且可传递的信任关系,如图2-3所示。Book.com是父域,Beijing.book.com是Book.com域的子域。在使用Active Directory安装向导提升域控制器时,默认父域和子域之间建立双向可传递的信任关系。即:Beijing.book.com子域信任book.com父域,Book.com父域信任Beijing.book.com子域。
图2-3 域树信任关系
2.1.3 域树
域树是同一个森林中多个子域组成的独立域,域树中父子关系形成层次结构,域树中的第一个域称为根域,多个子域将组成一颗域树,如图2-4 所示。Bookcom是父域,Beijing.book.com和Shenzhen.book.com是Book.com域的子域。
图2-4 域树
域树主要适用网络规模大且地理位置十分分散的网络。如果不同地理位置的网络部署在同一个域内,域中计算机之间信息交互(包括同步,复制等)所花费的时间会比较长,而且占用较大的带宽。子域可以通过子域管理员管理网络中的资源,可以达到“区域”自治的管理目的,降低父域的管理难度。
域树基于父子信任关系创建,因此域树之间是双向且可传递的信任关系。用户在域树中的任何域中登录后,即可访问森林中的共享资源,而不需要在访问其他域中的资源时,键入用户名和密码,如图2-5所示。
图2-5 域树信任关系
2.1.4 域林
多个域树可以组成一个域林。每棵域树可以是一个独立的域,也可以是其中几棵树组成的域,就好比是树的分支,树叶等,如图2-6所示。
图2-6 域林
域林主要适用于网络之间共存的环境。当企业出现兼并行为后,因为母公司使用一棵域树,兼并的公司也有自己的域树,则使用域林。通过建立域树与域树之间的信任关系管理使用整个域林中的资源,又保持被兼并公司自身原有的体系架构。
在同一森林下多棵域树之间存在域间信任关系,在部署第2 棵域树时,自动创建双向的可传递的域树之间信任关系。信任关系为双向且可传递,如图2-7所示。Daily.com是森林的第2棵域树,使用Active Directory安装向导创建后,默认创建2棵域树间的双向可传递的树根信任关系,即该林下的子域信任第2棵域树下的子域。
图2-7 域林信任关系
2.2 信任关系
信任是在域之间建立的关系,可以使一个域中的用户登录到其他域控制器进行身份验证并访问已经授权的网络资源。信任关系在两个域之间架起了一座桥梁,使得域用户账号可以跨域访问。可以如此理解:信任关系使一个域控制器可以验证其他域的用户。例如A域与B域没有信任关系,A域上的用户只能在本域内使用,将不能访问B域上的资源。
在域间访问时,在运行对话框中输入“\\服务器名称”,如果没有信任关系,需要输入目标域的用户名、密码,只有有效检测通过后,才能访问目标域的资源。在没有建立信任关系之前,每次访问时都需要输入用户名和密码。如果建立信任关系,则不需要输入用户名和密码,可以直接访问相关的资源。也就是说,访问域的用户必须具备目标域的合法身份才可访问。信任关系是用于确保一个域的用户可以访问和使用另一个域中资源的安全机制。
2.2.1 信任类型
域和域之间的访问通过信任完成。服务器使用“Active Directory安装向导”提升为域控制器时,根据创建的域目标自动创建信任关系。使用“Active Directory域和信任关系”管理控制台提供的“新建信任向导”或“Netdom”命令行工具可创建其他四种类型的信任关系。
1. 父子信任
父子信任存在于父域和子域之间,当使用“Active Directory安装向导”在域树中添加子域时,默认创建父子信任。父子信任之间的信任关系为双向且可传递信任。
2. 树根信任
树根信任存在于域树之间,当使用“Active Directory安装向导”在域树中添加新的域树时,默认创建树根信任。树根信任之间的信任关系为双向且可传递信任。
3. 快捷信任
快捷信任是当管理员需要优化身份验证过程时,可以使用的单向或双向可传递信任。身份验证请求必须首先通过域树之间的信任路径,在复杂林中将消耗大量的时间,而快捷信任可以缩短该时间。信任路径是为了传递任何两个域之间的身份验证请求而必须遍历的一系列的域信任关系。快捷信任可以改善两个域之间的用户登录时间,提高访问效率。快捷信任是可传递的信任,可选择单向或双向的信任关系,如图2-8所示。
图2-8 快捷信任
4. 外部信任
外部信任存在两个不同的森林或者两个不同的域。部署外部信任林的功能级别至少为Windows Server 2003模式。外部信任关系需要使用“新建信任向导”创建,创建完成的外部信任关系,是单向或者双向的不可传递的信任关系,即外部信任关系不可传递。如图2-9所示。
图2-9 外部信任
5. 森林信任
森林信任关系存在于不同的森林之间。部署外部信任林的功能级别至少为Windows Server 2003模式。森林信任关系只能在根域所在的域控制器中部署。森林信任关系需要使用“新建信任向导”创建。森林信任关系是单向或双向且可传递的信任关系。如果两个森林之间建立的是双向信任关系,两个森林的域之间相互信任。部署森林信任后,在各个森林之间可以共享资源,如图2-10所示.
图2-10 森林信任
森林信任只能在2个林之间创建,不能隐式扩展到第3个林。这意味着如果在林book.com和林test.com之间创建了一个林信任,在林test.com和林daily.com之间也创建了一个林信任,林book.com和林daily.com之间不存在任何信任关系,即林之间的信任关系不可传递,如图2-11所示。
图2-11 森林信任
6. 领域信任
使用领域信任可建立非Windows Kerberos领域和Windows Server 2008域之间的信任关系,领域信任是单向或双向、可传递或不传递的信任关系。
2.2.2 信任方向
信任方向是进行身份验证所用的路径。用户可以访问另一个域中的资源之前,运行Windows Server 2008的域控制器上必须确认双方之间是否存在信任关系。
1. 单向信任
单向信任是两个域之间创建的单向验证路径。表示在域Beijing.book.com和域Shenzhen.book.com之间创建的单向信任中,域Beijing.book.com中的用户可以访问域Shenzhen.book.com中的资源,而域Shenzhen.book.com中的用户不能访问域Beijing.book.com中的资源。根据所创建的信任类型,某些单向信任可以是非传递信任或可传递信任,如图2-12所示。
图2-12 单向信任关系
2. 双向信任
Windows Server 2008中使用“Active Directory安装向导”部署的所有域之间的关系,都是双向且可传递信任关系。创建新的子域时,双向可传递信任在新的子域和父域之间自动建立。在双向信任中,域Beijing.book.com信任域Shenzhen.book.com,且域Shenzhen.book.com信任域Beijing.book.com,Shenzhen.book.com和Beijing.book.com域内的用户都可访问对方域的资源。这意味着身份验证请求可按两种方向在两个域之间传递。根据所创建的信任类型,某些双向信任可以是非传递信任或可传递信任,如图2-13所示。
图2-13 双向信任
2.2.3 信任传递性
信任传递性确定了信任是否可扩展到建立信任的两个域之外。可传递信任用于将信任关系扩展到其他域,而非传递信任用于拒绝与其他域之间的信任关系。
1. 可传递信任
每次在林中创建新的域时,在新域及其父域之间会自动创建双向的可传递信任关系。如果子域被添加到新的域中,则信任路径将通过域向上流动,从而扩展到新域与其父域之间创建的初始信任路径。可传递信任关系将以域树形成时的方向沿域树向上流动,最终在域树中的所有域之间创建可传递信任,如图2-14所示。在默认情况下,Beijing.book.com和book.com之间的信任关系为双向且可传递,Shenzhen.book.com和book.com之间的信任关系为双向且可传递,因此Beijing.book.com和Shenzhen.book.com也是双向可传递的信任关系。当对资源指派适当的权限后,域Beijing.book.com中的用户可以访问域Shenzhen.book.com中的资源,域Shenzhen.book.com中的用户可以访问域Beijing.book.com中的资源。
图2-14 可传递信任
2. 非传递信任
非传递信任受信任关系中的两个域的约束,并不流向林中的任何其他域。非传递信任可以是双向信任或单向信任。非传递信任默认为单向信任关系,支持通过建立两个单向信任来建立一个双向关系,如图2-15所示。Beijing.book.com和Shenzhen.book.com之间具备双向可传递信任关系,Shenzhen.book.com和Test.com之间具备双向可传递信任关系,Shenzhen.book.com和Test.com之间是外部信任,Beijing.book.com和test.com之间的信任是非传递信任关系。当对资源指派适当的权限后,域Beijing.book.com中的用户不能访问域Test.com中的资源,域Test.com中的用户可以访问域Beijing.book.com中的资源。
图2-15 非传递信任
2.3 部署子域
子域是Active Directory中重要的管理模式,管理员可以根据地理位置、业务功能等划分子域。子域的管理员将独自管理子域中的资源。同一棵域树下的子域部署模式相同。
2.3.1 部署子域
部署子域可以使用命令行模式或者角色添加向导模式完成。在部署前,需要将部署子域的服务器提升为成员服务器,再由成员服务器提升为子域控制器。
第1步,以域管理员身份登录到需要部署子域的服务器,启动“Active Directory安装向导”,单击“下一步”按钮,直至显示如图2-16所示的“选择某一部署配置”对话框。
图2-16 部署子域之一
第2步,选择“现有林”选项,然后选择“在现有林中新建域”选项,单击“下一步”按钮,显示如图2-17所示的“网络凭据”对话框。如果当前登录的用户不是域管理员,建议选择“备用凭据”选项,单击“设置”按钮,选择具备管理员权限的用户。本例中使用默认值即可。
图2-17 部署子域之二
第3步,单击“下一步”按钮,显示如图2-18所示的“命名新域”对话框。在“父域的FQDN”文本框中键入父域的完整FQDN名称,在“子域的单标签FQDN”文本框中键入子域的名称,在“新子域的FQDN”文本框中自动显示子域完整的FQDN名称。
图2-18 部署子域之三
第4步,单击“下一步”按钮,显示如图2-19所示的“请选择一个站点”对话框。在“站点”列表中选择站点。
图2-19 部署子域之四
第5步,单击“下一步”按钮,显示如图2-20所示的“其他域控制器”对话框。选择“DNS服务器”和“全局编录”选项。
图2-20 部署子域之五
第6步,单击“下一步”按钮,按照向导提示完成子域的安装。安装完成后,重新启动计算机,完成子域的安装。同样的方法可以完成book.com下其他子域的部署,部署完成的域树如2-21所示。
图2-21 部署子域之六
2.3.2 查看父子域信任关系
父子域部署成功后,默认信任关系为双向可传递。“Active Directory域和信任关系”控制台,可以查看父子域的信任关系。
第1步,以父域管理员身份登录父域控制器,打开“Active Directory域和信任关系”窗口,如图2-22所示。
图2-22 查看父子域信任关系之一
第2步,右击“book.com”,在弹出的快捷菜单中选择“属性”命令,显示如图2-23 所示的“book.com属性”对话框。在“常规”选项卡中显示当前域的林功能级别和域功能级别,本例中功能级别均为Windows Server 2008。
图2-23 查看父子域信任关系之二
第3步,切换到“信任”选项卡,显示如图2-24所示的“信任”对话框。在“外向信任”和“内向信任”文本框中,显示父域和子域的信任类型以及传递关系。
图2-24 查看父子域信任关系之三
第4步,在“受此域信任的域(外向信任)”或者“信任此域的域(内向信任)”列表框中,选择任何一条信任关系,单击“属性”按钮,显示如图2-25所示的对话框。显示父子之间的信任类型、信任方向和信任传递关系。父子域之间是可信任的双向传递关系。
图2-25 查看父子域信任关系之四
第5步,在“Active Directory域和信任关系”窗口中,选择“Beijing.book.com”选项,右击该选项,在弹出的快捷菜单中选择“属性”命令,显示如图2-26所示的对话框。
图2-26 查看父子域信任关系之五
第6步,切换到“信任”选项卡,显示如图2-27示的“信任”对话框。在该对话框中,可以查看Beijing.book.com和book.com之间的父子关系。
图2-27 查看父子域信任关系之六
2.4 部署多域树
多域树包含同一个根域下的多个域,适用于大型网络且业务彼此独立的企业。多域树的管理比较复杂,需要更多的域管理员以及管理更多的域控制器,需要处理林根信任、树根信任、父子信任等复杂的信任关系。
2.4.1 部署多域树
本例将在book.com的根域下,添加一棵新的名称为daily.com的域树。
第1步,以域管理员身份登录到需要部署第二个域树的服务器,启动“Active Directory安装向导”,显示如2-28所示的“欢迎使用Active Directory域服务安装向导”对话框。
图2-28 部署多域树之一
第2步,选择“使用高级模式安装”选项,单击“下一步”按钮,直至显示如图2-29所示的“选择某一部署配置”对话框。选择“现有林”选项,然后选择“在现有林中新建域”选项,同时选择“新建域树根而不是新子域”选项。在当前林中,创建一个新的域树。
图2-29 部署多域树之二
第3步,单击“下一步”按钮,显示如图2-30所示的“网络凭据”对话框。如果当前登录的用户不是域管理员,建议选择“备用凭据”选项,单击“设置”按钮,选择具备管理员权限的用户。本例中使用默认值即可。
图2-30 部署多域树之三
第4步,单击“下一步”按钮,显示如图2-31所示的“命名新域树根”对话框。在“新域树的FQDN”文本框中,键入新域树的FQDN名称。
图2-31 部署多域树之四
第5步,单击“下一步”按钮,显示如图2-32 所示的“域NetBIOS名称”对话框。在“域NetBIOS名称”文本框中,键入新域的NetBIOS名称。默认情况下,该名称由向导自动识别填入,使用默认值即可。
图2-32 部署多域树之五
第6步,单击“下一步”按钮,显示如图2-33所示的“请选择一个站点”对话框,选择目标站点。
图2-33 部署多域树之六
第7步,单击“下一步”按钮,显示如图2-34所示的“其他域控制器选项”对话框。选择“DNS服务器”和“全局编录”选项。
图2-34 部署多域树之七
第8步,单击“下一步”按钮,显示如图2-35所示的“源域控制器”对话框。为安装的新域指定复制伙伴,选择“使用此特定的域控制器”选项,在可用的域控制器列表中,选择目标域控制器。
图2-35 部署多域树之八
第9步,单击“下一步”按钮,根据向导提示完成Active Directory部署。向导执行完成后,重新启动计算机,完成新域树的安装。
2.4.2 查看域树之间信任关系
部署在同一根域下的多域树之间默认信任关系为双向且可传递,使用“Active Directory域和信任关系”可以查看域树之间的信任关系。
第1步,以父域管理员身份登录父域控制器,打开“Active Directory域和信任关系”窗口,如图2-36所示。
图2-36 查看域树信任关系之一
第2步,右击“book.com”,在弹出的快捷菜单中选择“属性”命令,显示“book.com属性”对话框。切换到“信任”选项卡,显示如图2-37所示的“信任”对话框。在“外向信任”和“内向信任”文本框中,显示信任类型以及传递关系。“Daily.com”的信任类型为“树根”。
图2-37 域树信任关系之二
第3步,在“受此信任的域(外向信任)”或者“信任此域的域(内向信任)”列表框中,选择任何一条“Daily.com”信任关系,单击“属性”按钮,显示如图2-38所示的对话框。显示同一个森林下的树根之间的信任类型、信任方向和信任传递关系。同一个森林下的树根之间是可信任的双向传递关系。
图2-38 域树信任关系之三
2.5 部署信任关系
在Windows网络中,除了使用“Active Directory安装向导”提升域控制器的过程中,默认创建的信任关系之外,还可以使用“新建信任向导”创建新类型的信任关系,包括快捷信任、外部信任和森林信任。部署快捷信任的目的是提高网络访问的速度,降低网络流量。外部信任和森林信任主要用于两个不同的林之间的资源访问,默认情况下两个不同林之间的资源不能够访问,只有部署信任关系之后,才可以彼此访问。
2.5.1 部署快捷信任
同一个域林下有2 个子域,2 个子域之间通过默认信任建立双向信任关系。在Shenzhen.book.com域中存储公用资源,网络中访问量大,为了加快访问的速度和降低用户登录访问的时间,在Beijing.book.com和Shenzhen.book.com之间建立快捷信任,如图2-8所示。
第1步,以父域管理员身份登录父域控制器,选择“开始”→“管理工具”→“Active Directory域和信任关系”选项,显示如图2-39所示的“Active Directory域和信任关系”窗口。
图2-39 部署快捷信任之一
第2步,右击“book.com”,在弹出的快捷菜单中选择“属性”命令,显示“book.com属性”对话框的“常规”选项卡。切换到“信任”选项卡,显示如图2-40所示的“信任”对话框。在“外向信任”和“内向信任”文本框中,显示父域和子域的信任类型以及传递关系。
图2-40 部署快捷信任之二
第3步,单击“新建信任”按钮,启动“新建信任向导”,显示如图2-41所示的“欢迎使用新建信任向导”对话框。
图2-41 部署快捷信任之三
第4步,单击“下一步”按钮,显示如图2-42所示的“信任名称”对话框。在“名称”文本框中,键入信任域的DNS名称(FQDN)。本例中创建Shenzhen.book.com域信任Beijing.book.com,键入Shenzhen.book.com域的DNS名称。
图2-42 部署快捷信任之四
第5步,单击“下一步”按钮,显示如图2-43所示的“信任方向”对话框。在此对话框中选择“单向:内传”选项。
图2-43 部署快捷信任之五
信任方向解释
● 双向:信任域和被信任域中的用户都可以在各自的域中信任对方域的用户。
● 单向-内传:发起创建信任的域可以在目标域得到身份认证。
● 单向-外传:发起创建信任的域可以认证目标域中的用户。
第6步,单击“下一步”按钮,显示如图2-44所示的“信任方”对话框。选择“此域和指定的域”选项。
图2-44 部署快捷信任之六
信任方解释
● 只是这个域:仅在发起域创建信任关系。
● 此域和指定的域:建议选择此项。因为在本地域创建一个单向传入信任,在目标域必须创建一个单向传出信任关系,才能够验证成功。
第7步,单击“下一步”按钮,显示如图2-45所示的“用户名和密码”对话框。键入目标域中具备管理员账号的用户和密码。
图2-45 部署快捷信任之七
第8步,单击“下一步”按钮,显示如图2-46所示的“选择信任完毕”对话框。显示创建信任关参数,管理员可以根据实际调整相应的参数。
图2-46 部署快捷信任之八
第9步,单击“下一步”按钮,显示如图2-47所示的“信任创建完毕”对话框。“改动状态”中描述信任关系的参数,包括信任类型、信任方向、目标域、信任方等信息。信任类型为快捷方式,即快捷信任。
图2-47 部署快捷信任之九
第10步,单击“下一步”按钮,显示如2-48所示的“确认传入信任”对话框。选择“是,确认传入信任”选项。
图2-48 部署快捷信任之十
第11步,单击“下一步”按钮,显示如图2-49所示的“正在完成新建信任向导”对话框。
图2-49 部署快捷信任之十一
第12步,单击“完成”按钮,成功创建快捷信任,如图2-50所示。
图2-50 部署快捷信任之十二
2.5.2 外部信任
book.com域兼并了shm.com域,book.com域中的用户需要访问shm.com域中的资源,因此为book.com域部署指向shm.com域的外部信任关系,book.com域中用户即可访问shm.com域中的资源。
book.com域和shm.com域均使用Windows Server 2008操作系统,当前林功能级别为Windows Server 2008。book.com域和shm.com域物理链路通讯正常,DNS彼此可以互相解析成功。
1. 无信任资源访问
Book.com域和shm.com是两个独立的域,在没有建立信任之前,book.com无法访问shm.com域中资源,如图2-51所示。
图2-51 无信任资源访问之一
同样,shm.com域无法访问book.com中的资源,如图2-52所示。
图2-52 无信任资源访问之二
2. 部署外部信任
第1步,以父域管理员身份登录父域控制器,启动“Active Directory域和信任关系”控制台。右击“book.com”,在弹出的快捷菜单中选择“属性”命令,显示“book.com属性”对话框的“常规”选项卡。切换到“信任”选项卡,显示如图2-53所示的“信任”对话框。
图2-53 部署外部信任之一
第2步,单击“新建信任”按钮,启动“新建信任向导”,跳过“欢迎使用新建信任向导”对话框,显示如图2-54 所示的“信任名称”对话框。在“名称”对话框中键入目标域。
图2-54 部署外部信任之二
第3步,单击“下一步”按钮,显示如图2-55所示的“信任类型”对话框。选择“外部信任”选项。
图2-55 部署外部信任之三
第4步,单击“下一步”按钮,显示如图2-56示的“信任方向”对话框。选择“双向”选项。
图2-56 部署外部信任之四
第5步,单击“下一步”按钮,显示如图2-57所示的“信任方”对话框。选择“此域和指定的域”选项。
图2-57 部署外部信任之五
第6步,单击“下一步”按钮,显示如图2-58所示的“用户名和密码”对话框。键入shm.com域的管理员用户名和密码。
图2-58 部署外部信任之六
第7步,单击“下一步”按钮,显示如图2-59示的“传出信任身份验证级别——本地域”对话框。选择“全域性身份验证”选项,允许域中的用户访问目标域资源。
图2-59 部署外部信任之七
第8步,单击“下一步”按钮,显示如图2-60所示的“传出信任身份验证级别——指定域”对话框。选择“全域性身份验证”选项,允许域中的用户访问目标域资源。
图2-60 部署外部信任之八
第9步,单击“下一步”按钮,显示如图2-61示的“选择信任完毕”对话框。显示部署的外部信任参数,信任类型是外部。
图2-61 部署外部信任之九
第10步,单击“下一步”按钮,显示如7-62所示的“信任创建完毕”对话框。信任关系创建成功,显示信任类型、信任方向、目标域、信任方等信息
第11步,单击“下一步”按钮,显示如图2-63示的“确认传出信任”对话框。
图2-62 部署外部信任之十
图2-63 部署外部信任之十一
第12步,单击“下一步”按钮,显示如图2-64所示的“确认传入信任”对话框。
图2-64 部署外部信任之十二
第13步,单击“下一步”按钮,显示如7-65所示的“正在完成新建信任向导”对话框。
图2-65 部署外部信任之十三
第14步,单击“完成”按钮,显示如图2-66所示的“Active Directory域服务”对话框。
图2-66 部署外部信任之十四
第15步,单击“确定”按钮,成功创建外部信任关系,如图2-67所示。
图2-67 部署外部信任之十五
3. 信任资源访问
外部信任部署成功后,book.com域和shm.com域之间即可彼此访问域中资源。
Book.com访问shm.com域中资源,如图2-68所示。
图2-68 信任资源访问之一
Shm.com访问book.com域中的资源,如图2-69所示。
图2-69 信任资源访问之二
2.5.3 森林信任
部署森林信任的环境和条件和外部信任相同,部署信任的过程也相同,在部署的过程中有以下不同点。
1. 选择“信任类型”时,选择“林信任”选项,即创建森林信任,如图2-70所示。
图2-70 森林信任之一
2. 在“传出信任身份验证级别——本地林”对话框中,选择“全林性身份验证”选项,允许林中的用户访问目标林,如图2-71所示。
图2-71 森林信任之二
3. 在“传出信任身份验证级别——指定林”对话框中,选择“全林身份验证”选项,允许林中的用户访问目标林,如图2-72所示。
图2-72 森林信任之三
其他部分按照向导提示完成即可,部署完成的森林如图2-73所示。
图2-73 森林信任之四
2.5.4 删除信任
网络中建立的信任关系已经不能满足管理需要,管理员可以删除信任关系。
第1步,以父域管理员身份登录父域控制器,启动“Active Directory域和信任关系”控制台。右击“book.com”,在弹出的快捷菜单中选择“属性”命令,显示“book.com属性”对话框,切换到“信任”选项卡。
第2步,在“受此域信任的域(外向信任)”或者“信任此域的域(内向信任)”列表框中,选择需要删除的信任关系,单击“删除”按钮,显示如图2-74所示的“Active Directory域服务”对话框。
图2-74 删除信任信任之一
第3步,选择“是,从本地域和另一个域中删除信任”选项,单击“确定”按钮,显示如图2-75所示的“Active Directory域服务”对话框。
图2-75 删除信任信任之二
第4步,单击“是”按钮,成功删除选择的信任关系,如图2-76所示。
图2-76 删除信任信任之三