多域之間資源共享訪問(AGDLP策略)

1、多域之間資源共享訪問(agdlp策略)目的:用agdlp來實現(xiàn)訪問其它域的文件服務器.或打印服務器.下面實現(xiàn)的是文件服務器的訪問.agdlp意思是:a( 帳戶),加入g(全局組),再加到對方域的dl(域本地組),分配p(權(quán)限).存在3臺機器,一臺dc(nwtrader.msft),一臺dc(contoso.msft),一臺加入域的客戶端.(vmxp.contoso.msft).即能用contoso.msft的用戶訪問nwtrader.msft的共享文件即可.拓樸為:先在各自域建立組和用戶.如下:在nwtrader.msft建立dl組.在contrader.msft建立g組及c用戶.把用戶c加入

2、全局組g即實現(xiàn)了ag用于分配p(權(quán)限).那先在nwtrader.msft上建立文件服務器.并為dl組賦與訪問權(quán).實現(xiàn)了dlp為了驗證結(jié)果,還在share里面建立了一文本.contoso.msft上的用戶c能過來訪問.即實現(xiàn)了agdlp.ag說了,dlp也說了.還有最重要的一步?jīng)]做,就是把contoso上的全局組g加入到nwtrader上的域本地組dl,這也是最重要的一步.要在一個域里加其它域里的對象.那么域之間必須存在信任關(guān)系.下面就實現(xiàn)如何在兩域之間建立信任關(guān)系.建立信任關(guān)系前提,必須能相互解釋.那么在dns上設置轉(zhuǎn)發(fā)器即可.確定相互解釋成功.接差下來就是提升域和林的功能級別.以實現(xiàn)2003

3、上更多的功能.下面終于可以建立信任關(guān)系啦.設置信任類型,信任方向.做的是雙向，說明兩個域之間的資源都可相互訪問。身份驗證.信任密碼,用于確認信任關(guān)系.信任完畢,是否傳出信任,傳入信任.我這里沒有設置,等建立完后再驗證.信任完畢.contoso.msft做同樣操作.建完信任關(guān)系后,可手工驗證信任關(guān)系.現(xiàn)在可以實現(xiàn)把contoso.msft.的全局組g加到nwtrader的域本地組dl.那么agdlp的全過程就實現(xiàn)了.下面看如何把contoso.msft.的全局組g加到nwtrader的域本地組dl.由于成功的信任關(guān)系存在,所以在nwtrader.msft這個域能看到contoso.msft以上,

4、agdlp for文件服務器的實現(xiàn)操作結(jié)束.回顧一下,我們做了在contoso.msft上把用戶c加到全局組,再把contoso.msft的全局組加到nwtrader,msft的域本地組,再為域本地組分配權(quán)限.剩下的就是驗證結(jié)果.在contoso.msft上設置了nat.只是為了驗證一下客戶端能否訪問文件服務器.在vmxp.contoso.msft上用c登錄.小結(jié)一下：在上面我們做信任關(guān)系時看到的很多按鈕，以及相關(guān)的概念：外部信任vs林信任外部信任：是指在不同林的域之間創(chuàng)建的不可傳遞的信任（不考慮4.0的域的信任關(guān)系）注：可不需要提升域/林功能級別，我上面多此一舉了，習慣。林信任：外部信任為不同域間跨域訪問提供了方法，可兩個林中有許多域，要跨域訪問資源就需要創(chuàng)建很多個外部信任，這種方法就顯得不太現(xiàn)實，這就引出了林信任，只用在林根域之間建立林信任就不需要創(chuàng)建多個外部信任，在為林信任是可傳遞的。注：實現(xiàn)林信任，前提條件，林功能級別為windows server2003,域功能級別可為windows 2000 本機/wndows server 2003。傳遞信任林中的域的信任關(guān)系是可傳遞的。如域a信任域b，域b信任域c，即域a信任域c。而外部信任不能得出這結(jié)果。方向：信任方向有單向和雙向兩種。其中單向分為內(nèi)傳