域林之間的信任關(guān)系_第1頁
域林之間的信任關(guān)系_第2頁
域林之間的信任關(guān)系_第3頁
域林之間的信任關(guān)系_第4頁
域林之間的信任關(guān)系_第5頁
已閱讀5頁,還剩10頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、域林之間的信任關(guān)系使用WIN2003創(chuàng)建的AD(域林)中的各個域之間的信任關(guān)系默認就是雙向信任可傳遞的。那么,如果企業(yè)的應(yīng)用中如果出現(xiàn)了兩個林或更多的林時,還要進行相互的資源訪問時,我們該怎么辦?因為默認只是同在一個域林中才能雙向信任可傳遞,兩個域林(AD)間沒有這個關(guān)系,那么就需要我們手動來配置域林之間的信任關(guān)系,從而來保證不同域林中的資源互訪。比如說企業(yè)之間的兼并問題,兩個公司之前都使用的是MS的AD來管理,那么大家可想而知這兩家企業(yè)之前肯定是兩個域林,那么現(xiàn)在兼并后,如何讓這兩個域林之間能夠建立信任關(guān)系嗎?都有什么方法呢?那今天我們就來學習一下如何創(chuàng)建域林之間的信任關(guān)系!在一個林中林之間

2、的信任分為外部信任和林信任兩種: 外部信任是指在不同林的域之間創(chuàng)建的不可傳遞的信任 林信任是Windows Server 2003林根域之間建立的信任,為任一域林內(nèi)的各個域之間提供一種單向或雙向的可傳遞信任關(guān)系。信任域域1. 創(chuàng)建外部信任創(chuàng)建外部信任之前需要設(shè)置DNS轉(zhuǎn)發(fā)器:在兩個林的DC之間的DNS服務(wù)器各配置轉(zhuǎn)發(fā)器:在域中能解析,在域中能解析 首先我們在域的DC上配置DNS服務(wù)器設(shè)置轉(zhuǎn)發(fā)器,把所有域的解析工作都轉(zhuǎn)發(fā)到192.168.6.6這臺機器上:配置后DNS轉(zhuǎn)發(fā)后去PING一下,看是否連通,如果通即可:然后再在另一個域中的DC的DNS服務(wù)器也同樣設(shè)置DNS轉(zhuǎn)發(fā),把的轉(zhuǎn)發(fā)到192.168

3、.6.1的機器上來:同樣PING一下,看是否能PING通: 準備工作做好后,就開始創(chuàng)建外部信任:首先在域的DC上打開"AD域和信任關(guān)系"工具,在域的"屬性"中的"信任"選項卡:單擊"新建信任":輸入信任名稱(這里要注意是你這個域要信任的域):選擇"單向:外傳":雙向:本地域信任指定域,同時指定域信任本地域單向:內(nèi)傳:指定域信任本地域(換句話說就是,你信任我的關(guān)系)單向:外傳:本地域信任指定域(例如,域信任域,我信任你的關(guān)系)注意:由于信任關(guān)系是在兩個域之間建立的,如果在域A(本地域)建立一個&q

4、uot;單向:外傳"信任,則需要在域B(指定域)必須建立一個"單向:內(nèi)傳"信任.但如果選擇了"這個域和指定的域"單選按鈕,就會在指定域自動建立一個"單向:內(nèi)傳"的信任!輸入指定域中有管理權(quán)限的用戶名和密碼: 創(chuàng)建完成后,驗證方法可以使用:在域的DC上查看信任關(guān)系:在域的DC上查看信任關(guān)系:還有一種驗證方法就是被信任域的用戶可以到信任域的計算機上登錄,在信任域的計算機上的登錄對話框中有被信任域名,說明可以輸入被信任域的帳戶登錄(前提是要賦予該帳戶登錄的權(quán)限):但是否能登錄還是要看權(quán)限,因為默認情況下是不能登錄到DC的,那么在本

5、地域的"域控制器安全策略"中打開"安全策略-"本地策略"-""用戶權(quán)限分配"-"允許在本地登錄"中添加被信任域的管理員即可! 林之間的外部信任的特點:手工建立 林之間的信任關(guān)系需要手工創(chuàng)建信任關(guān)系不可傳遞 林中的域的信任關(guān)系是不可傳遞的 例如,域A直接信任域B,域B直接信任域C,不能得出域A信任域C的結(jié)論信任方向有單向和雙向兩種 單向分為內(nèi)傳和外傳兩種 內(nèi)傳指指定域信任本地域 外傳指本地域信任指定域 創(chuàng)建好林中的信任關(guān)系后可以進行跨域訪問資源應(yīng)用AGDLP規(guī)則實現(xiàn)跨域訪問具體規(guī)則是: 被信任域的

6、帳戶加入到本域的全局組 被信任域的全局組加入到信任域的本地域組 給信任域的本地域組設(shè)置權(quán)限2. 創(chuàng)建林信任外部信任為不同域之間跨域訪問資源提供了方法,但如果兩個林中有許多域,要跨域訪問資源就需要常見很多個外部信任,有沒有簡單方法呢?當然是有的,那就是只用在林根域之間建立林信任就不需要創(chuàng)建多個外部信任,因為林信任是可傳遞的。創(chuàng)建林信任與創(chuàng)建外部信任的方法類似,不同的是在創(chuàng)建林信任之前要升級林功能級別為Windows Server 2003模式。(解釋一下,在WIN2003中創(chuàng)建的域模式共有三種,NT混合模式,WIN2000本機模式和WIN2003純模式,域模式是用來為了兼容老版本操作系統(tǒng)的域控制器,而限制某些新的功能。)這是創(chuàng)建林信任的前提條件。升級林功能級別之前,需要將林中所有域的域功能級別設(shè)置為WIN2000模式或WIN2003模式。 首先提升域功能級別 在提升林級別 首先在域的DC上打開"AD域和信任關(guān)系"工具,在域的"屬性"中的"信任"選項卡,在信任類型中選擇"林信任":選擇"單向:外傳":選擇"全林性身份驗證",WINS將自動對指定林的所有用戶使用本地林的所有資源進行身份驗證: 完成林信任的創(chuàng)建

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論