域和子域的问题

squall91009

安全边界指的是authorization边界。大家一定没有忘记每个域控制器都是一个KDC，所有的client都需要用kerberos验证自己的身份。而每个域控制器只能生成自己的kerberos key以及利用信任关系向子域发放TGT。如果一个user需要访问另一个域，必须使用自己的token通过kerberos向所在域进行验证，然后通过KDC拿到上一层域的TGT。。。知道被转到要访问的域为止。在同一个森林里添加新域时默认建立的信任关系在整个森林里都是双向传递的。
另外，如果这个域处在native mode， 那么有domain local group, global group和universal group。每一个group都有自己的作用范围。你的帐号处在哪一种group才是影响权限范围的因素。
活动目录不是想象中的安全边界，信任关系，几个UI里的objects那么简单。强烈建议大家看看kerberos authentication和了解一下schema，ADSI的概念。