Windows多域間的訪問-格式

多域間的訪問

編輯課件本章目標理解信任關(guān)系的概念掌握林和子域的創(chuàng)立掌握信任關(guān)系的創(chuàng)立掌握AGDLP規(guī)那么了解林信任的概念編輯課件本章結(jié)構(gòu)多域間的訪問林、域樹和子域林之間的信任創(chuàng)立外部信任林、域樹和子域創(chuàng)立林、域樹和子域林中信任關(guān)系跨域訪問資源林中跨域訪問創(chuàng)立林信任編輯課件3/32林、域樹和子域這3個選項應(yīng)選擇哪個編輯課件域樹與子域域樹是共用連續(xù)域名空間的Windows域向域樹中添加的任何新域都叫做子域編輯課件林單個域樹或者多個域樹構(gòu)成林林中的不同域樹不共用連續(xù)的域名空間編輯課件林的根域2-1在林中創(chuàng)立的第一個域叫做林的根域林的根域存在兩個預(yù)定義的組EnterpriseAdminsSchemaAdmins編輯課件林的根域2-2企業(yè)管理組：可以對活動目錄中整個林作修改，例如添加子域

架構(gòu)管理組：可以對活動目錄中整個林作架構(gòu)修改

編輯課件創(chuàng)立林、域樹和子域安裝DC應(yīng)具備的條件創(chuàng)立林創(chuàng)立域樹創(chuàng)立子域編輯課件安裝DC應(yīng)具備的條件安裝者必須具有本地管理員權(quán)限操作系統(tǒng)版本必須滿足條件本地磁盤至少有一個分區(qū)是NTFS文件系統(tǒng)有TCP/IP設(shè)置〔IP地址、子網(wǎng)掩碼等〕有相應(yīng)的DNS效勞器支持有足夠的可用空間編輯課件新域的NetBIOS名數(shù)據(jù)庫和日志文件文件夾DNS注冊診斷域兼容性共享的系統(tǒng)卷創(chuàng)立林是否創(chuàng)立新域新域的DNS全名復(fù)原模式密碼編輯課件11/32創(chuàng)立子域創(chuàng)立新域創(chuàng)立子域網(wǎng)絡(luò)憑據(jù)子域安裝NetBIOS域名操作系統(tǒng)兼容性目錄效勞復(fù)原模式的管理員密碼子域安裝完成編輯課件創(chuàng)立林中域樹創(chuàng)立現(xiàn)有林中的域樹網(wǎng)絡(luò)憑據(jù)新域目錄樹安裝完成驗證域樹的安裝編輯課件在一個林中創(chuàng)立多個域的原因部門〔或分公司〕之間有不同的密碼要求，可以針對部門〔或分公司〕創(chuàng)立域有大量的活動目錄對象，可以分解成多個域，使每個域活動目錄對象較少分散的網(wǎng)絡(luò)管理，而不是由一個域管理員管理，多個域意味著有多個域管理員對復(fù)制進行更多的控制編輯課件林中的信任關(guān)系2-1編輯課件林中的信任關(guān)系2-2林中的默認信任關(guān)系的特點自動建立林中的域之間的信任關(guān)系是在創(chuàng)立子域或者域樹時自動創(chuàng)立的傳遞信任林中的域的信任關(guān)系是可傳遞的如域A直接信任域B，域B直接信任域C，那么域A信任域C雙向信任在兩個域之間有兩個方向上的兩條信任路徑例如，域A信任域B，域B信任域A編輯課件查看信任關(guān)系父子信任：在同一個域樹中父域和子域之間樹根信任：在同一個林中的兩個域樹之間編輯課件林中跨域訪問AGDLP規(guī)那么的含義1〕將用戶賬戶參加全局組2〕將全局組參加本地域組3〕給本地域組賦權(quán)限本例中實現(xiàn)跨域訪問的具體步驟1〕將user1、user2、user3參加到全局組global12〕將benet域的全局組參加到bj域的本地域組local13〕在share文件夾的【平安】和【共享】屬性中給local1設(shè)置權(quán)限4〕user1、user2、user3訪問文件夾share編輯課件階段練習背景BENET公司的總部組建了一個林的根域，域名為benet北京有個分公司需要創(chuàng)立子域，域名為bj.benet總部的局部賬戶有權(quán)訪問分公司域中的資源目標掌握子域的創(chuàng)立掌握AGDLP規(guī)那么的跨域應(yīng)用編輯課件林之間的信任林之間的信任分為外部信任和林信任外部信任是指在不同林的域之間創(chuàng)立的不可傳遞的信任林信任是Windows2003林根域之間建立的信任為任一林內(nèi)的各個域之間提供一種單向或雙向的可傳遞信任關(guān)系編輯課件創(chuàng)立外部信任2-1創(chuàng)立外部信任之前需要設(shè)置DNS轉(zhuǎn)發(fā)器在project域中能解析benet在benet域中能解析project.lcom編輯課件創(chuàng)立外部信任2-21〕右擊project.lcom域名|【屬性】|【信任】2〕信任名稱3〕選擇信任的方向為“單向：外傳〞4〕選擇信任方“這個域和指定的域〞5〕鍵入指定的域的有管理權(quán)限的賬戶和密碼6〕創(chuàng)立完畢7〕選擇“是，確認傳入信任〞編輯課件驗證信任關(guān)系信任類型為外部可傳遞性為否信任域的登錄對話框編輯課件外部信任的特點手工建立林之間的信任關(guān)系需要手工創(chuàng)立信任關(guān)系不可傳遞林中的域的信任關(guān)系是不可傳遞的例如，域A直接信任域B，域B直接信任域C，不能得出域A信任域C的結(jié)論信任方向有單向和雙向兩種單向分為內(nèi)傳和外傳兩種內(nèi)傳指指定域信任本地域外傳指本地域信任指定域編輯課件跨域訪問資源應(yīng)用AGDLP規(guī)那么實現(xiàn)跨域訪問具體規(guī)那么是1〕被信任域的帳戶參加到本域的全局組2〕被信任域的全局組參加到信任域的本地域組3〕給信任域的本地域組設(shè)置權(quán)限編輯課件創(chuàng)立林信任2-1林信任的意義如果兩個林中有許多域，要跨域訪問資源就需要創(chuàng)立很多個外部信任在林根域之間建立林信任就不需要創(chuàng)立多個外部信任，因為林信任是可傳遞的創(chuàng)立林信任與創(chuàng)立外部信任方法類似不同的是需要升級林功能級別為WindowsServer2003編輯課件創(chuàng)立林信任2-2提升域功能級別

提升林功能級別

創(chuàng)立林信任編輯課件林信任的特點林功能級別為WindowsServer2003才能創(chuàng)立只有在林根域之間才能創(chuàng)立在建立林信任的兩個林中的每個域之間的信任關(guān)系是可傳遞的信任方向有單向和雙向兩種編輯課件階段練習背景BENET公司日常辦公使用的域是benet工程部最近做一個工程，搭建一個域為project.lcom該域存儲工程的工作文檔，存儲在共享文件夾share中，供Benet域中的工程部的員工訪問目標理解信任關(guān)系的概念掌握信任關(guān)系的創(chuàng)立掌握利用信任關(guān)系實現(xiàn)跨域訪問編輯課件本章總結(jié)多域間的訪問林、域樹和子域林之間的信任創(chuàng)立外部信任林、域樹和子域創(chuàng)立林、域樹和子域林中信任關(guān)系跨域訪問資