Active Directory 域

Active Directory 域页面允许您查看、添加、编辑和删除存储在 Authentication Server 数据库中的 Active Directory 域和相关凭据。此区域仅在您是管理员时才可用。

要打开 Active Directory 域页面,请点击您的基本信息图标以打开“设置”页面,点击身份验证设置,然后点击查看域

您只需为具有单向信任关系的多林环境添加新的 Active Directory 域。有关更多详细信息,请参阅域之间的信任关系

Active Directory 域页面为您提供以下信息和功能:

  1. 添加添加新的 Active Directory 域。
  2. 编辑编辑现有 Active Directory 域的详细信息。您一次只能编辑一个域。
  3. 删除删除一个或多个 Active Directory 域。

添加域

  1. 在 Active Directory 域页面上,点击添加

    随即显示“添加域”页面。

  2. 输入域名。

    这必须是使用 subdomain.domain.com 或 domain.com 格式的完全限定域名 (FQDN)。

  3. 输入域的用户名和密码。用户名的格式必须为 [email protected] 或 DOMAIN\username。必须事先向系统管理员请求凭据。

    Active Directory 域凭据存储在数据库中,且在存储之前已加密。为每个域存储的凭据必须是 Active Directory 服务帐户的凭据。服务帐户密码不得过期,服务帐户不得是用户帐户,并且应遵循 Active Directory 服务帐户最佳实践

  4. 点击添加

    域名和凭据将根据 Active Directory 域控制器进行验证,添加的域将显示在域列表中。

编辑域

  1. 在 Active Directory 域页面上,选择一个域,然后点击编辑

    您一次只能选择一个域。

  2. 根据需要更改信息。如果要编辑域名,必须删除此域并创建新域。

  3. 点击保存以应用更改。

删除域

  1. 在 Active Directory 域上,选择所需的域,然后点击删除

    系统会显示一则消息,要求您确认删除。

  2. 点击以删除选定域,或点击以取消。

域之间的信任关系

对于多林环境,必须在域之间配置信任关系。对于应受信任的域,它们可以是双向的,也可以是单向的。

例如:

  • 在域 A 和域 B 之间的单向信任中,域 A 中的用户可以访问域 B 中的资源。但是,域 B 中的用户无法访问域 A 中的资源。

  • 在双向信任中,域 A 信任域 B,域 B 信任域 A。这意味着身份验证请求可以在两个域之间双向传递。

如果 Authentication Server 应用程序池用户具有对用户所属域的相关读取访问权限,则双向信任不需要用户提供域凭据。在这些示例中,托管 Authentication Server 的 Web 服务器将驻留在域 B 中。当用户需要使用与 Authentication Server 应用程序池用户不同的帐户查询受信任域时,双向信任需要提供凭据。单向信任需要创建具有凭据的域。

支持以下信任类型:

  • 外部

  • 父-子

  • 树-根