Active Directory 域
Active Directory 域页面允许您查看、添加、编辑和删除存储在 Authentication Server 数据库中的 Active Directory 域和相关凭据。此区域仅在您是管理员时才可用。
要打开 Active Directory 域页面,请点击您的基本信息图标以打开“设置”页面,点击身份验证设置,然后点击查看域。
您只需为具有单向信任关系的多林环境添加新的 Active Directory 域。有关更多详细信息,请参阅域之间的信任关系。
Active Directory 域页面为您提供以下信息和功能:
- 添加—添加新的 Active Directory 域。
- 编辑—编辑现有 Active Directory 域的详细信息。您一次只能编辑一个域。
- 删除—删除一个或多个 Active Directory 域。
添加域
-
在 Active Directory 域页面上,点击添加。
随即显示“添加域”页面。
-
输入域名。
这必须是使用 subdomain.domain.com 或 domain.com 格式的完全限定域名 (FQDN)。
-
输入域的用户名和密码。用户名的格式必须为 [email protected] 或 DOMAIN\username。必须事先向系统管理员请求凭据。
Active Directory 域凭据存储在数据库中,且在存储之前已加密。为每个域存储的凭据必须是 Active Directory 服务帐户的凭据。服务帐户密码不得过期,服务帐户不得是用户帐户,并且应遵循 Active Directory 服务帐户最佳实践。
-
点击添加。
域名和凭据将根据 Active Directory 域控制器进行验证,添加的域将显示在域列表中。
编辑域
-
在 Active Directory 域页面上,选择一个域,然后点击编辑。
您一次只能选择一个域。
-
根据需要更改信息。如果要编辑域名,必须删除此域并创建新域。
-
点击保存以应用更改。
删除域
-
在 Active Directory 域上,选择所需的域,然后点击删除。
系统会显示一则消息,要求您确认删除。
- 点击是以删除选定域,或点击否以取消。
域之间的信任关系
对于多林环境,必须在域之间配置信任关系。对于应受信任的域,它们可以是双向的,也可以是单向的。
例如:
- 在域 A 和域 B 之间的单向信任中,域 A 中的用户可以访问域 B 中的资源。但是,域 B 中的用户无法访问域 A 中的资源。
-
在双向信任中,域 A 信任域 B,域 B 信任域 A。这意味着身份验证请求可以在两个域之间双向传递。
如果 Authentication Server 应用程序池用户具有对用户所属域的相关读取访问权限,则双向信任不需要用户提供域凭据。在这些示例中,托管 Authentication Server 的 Web 服务器将驻留在域 B 中。当用户需要使用与 Authentication Server 应用程序池用户不同的帐户查询受信任域时,双向信任需要提供凭据。单向信任需要创建具有凭据的域。
支持以下信任类型:
-
外部
-
父-子
-
树-根
-
林