Download
1 / 31
310 likes | 391 Views
多域间的访问. 第 8 章. 本章目标. 理解信任关系的概念 掌握林和子域的创建 掌握信任关系的创建 掌握 AGDLP 规则 了解林信任的概念. 本章结构. 林、域树和子域. 创建林、域树和子域. 林、域树和子域. 林中信任关系. 林中跨域访问. 多域间的访问. 创建外部信任. 跨域访问资源. 林之间的信任. 创建林信任. 林、域树和子域. 这 3 个选项应选择哪个. 域树与子域. 域树是共用连续域名空间的 Windows 域 向域树中添加的任何新域都叫做子域. 林. 单个域树或者多个域树构成林 林中的不同域树不共用连续的域名空间.
E N D
多域间的访问 第8章 Chapter
本章目标 • 理解信任关系的概念 • 掌握林和子域的创建 • 掌握信任关系的创建 • 掌握AGDLP规则 • 了解林信任的概念 Chapter
本章结构 林、域树和子域 创建林、域树和子域 林、域树和子域 林中信任关系 林中跨域访问 多域间的访问 创建外部信任 跨域访问资源 林之间的信任 创建林信任 Chapter
林、域树和子域 • 这3个选项应选择哪个 Chapter
域树与子域 • 域树是共用连续域名空间的Windows域 • 向域树中添加的任何新域都叫做子域 Chapter
林 • 单个域树或者多个域树构成林 • 林中的不同域树不共用连续的域名空间 Chapter
林的根域2-1 • 在林中创建的第一个域叫做林的根域 • 林的根域存在两个预定义的组 • Enterprise Admins • Schema Admins Chapter
林的根域2-2 企业管理组:可以对活动目录中整个林作修改,例如添加子域 架构管理组:可以对活动目录中整个林作架构修改 Chapter
创建林、域树和子域 • 安装DC应具备的条件 • 创建林 • 创建域树 • 创建子域 Chapter
安装DC应具备的条件 • 安装者必须具有本地管理员权限 • 操作系统版本必须满足条件 • 本地磁盘至少有一个分区是NTFS文件系统 • 有TCP/IP设置(IP地址、子网掩码等) • 有相应的DNS服务器支持 • 有足够的可用空间 Chapter
创建林 • 新域的NetBIOS名 • DNS注册诊断 • 域兼容性 • 是否创建新域 • 新域的DNS全名 • 还原模式密码 • 数据库和日志文件文件夹 • 共享的系统卷 Chapter
创建子域 • 创建新域 • 创建子域 • 子域安装 • NetBIOS域名 • 操作系统兼容性 • 网络凭据 • 目录服务还原模式的管理员密码 • 子域安装完成 Chapter
创建林中域树 • 网络凭据 • 安装完成 • 验证域树的安装 • 创建现有林中的域树 • 新域目录树 Chapter
在一个林中创建多个域的原因 • 部门(或分公司)之间有不同的密码要求,可以针对部门(或分公司)创建域 • 有大量的活动目录对象,可以分解成多个域,使每个域活动目录对象较少 • 分散的网络管理,而不是由一个域管理员管理,多个域意味着有多个域管理员 • 对复制进行更多的控制 Chapter
林中的信任关系2-1 Chapter
林中的信任关系2-2 • 林中的默认信任关系的特点 • 自动建立 • 林中的域之间的信任关系是在创建子域或者域树时自动创建的 • 传递信任 • 林中的域的信任关系是可传递的 • 如域A直接信任域B,域B直接信任域C,则域A信任域C • 双向信任 • 在两个域之间有两个方向上的两条信任路径 • 例如,域A信任域B,域B信任域A Chapter
查看信任关系 • 父子信任:在同一个域树中父域和子域之间 • 树根信任:在同一个林中的两个域树之间 Chapter
林中跨域访问 • AGDLP规则的含义 • 1)将用户账户加入全局组 • 2)将全局组加入本地域组 • 3)给本地域组赋权限 • 本例中实现跨域访问的具体步骤 • 1)将user1、user2、user3加入到全局组global1 • 2)将benet域的全局组加入到bj域的本地域组local1 • 3)在share文件夹的【安全】和【共享】属性中给local1设置权限 • 4)user1、user2、user3访问文件夹share Chapter
阶段练习 • 背景 • BENET公司的总部组建了一个林的根域,域名为benet.com.cn • 北京有个分公司需要创建子域,域名为bj.benet.com.cn • 总部的部分账户有权访问分公司域中的资源 • 目标 • 掌握子域的创建 • 掌握AGDLP规则的跨域应用 Chapter
林之间的信任 • 林之间的信任分为外部信任和林信任 • 外部信任是指在不同林的域之间创建的不可传递的信任 • 林信任是Windows 2003林根域之间建立的信任 • 为任一林内的各个域之间提供一种单向或双向的可传递信任关系 Chapter
创建外部信任2-1 • 创建外部信任之前需要设置DNS转发器 • 在project域中能解析benet.com.cn • 在benet域中能解析project.lcom Chapter
创建外部信任2-2 • 2)信任名称 • 4)选择信任方 “这个域和指定的域” • 6)创建完毕 • 3)选择信任的方向为“单向:外传” • 1)右击project.lcom域名|【属性】|【信任】 • 5)键入指定的域的有管理权限的账户和密码 • 7)选择“是,确认传入信任” Chapter
验证信任关系 • 信任类型为外部 • 可传递性为否 • 信任域的登录对话框 Chapter
外部信任的特点 • 手工建立 • 林之间的信任关系需要手工创建 • 信任关系不可传递 • 林中的域的信任关系是不可传递的 • 例如,域A直接信任域B,域B直接信任域C,不能得出域A信任域C的结论 • 信任方向有单向和双向两种 • 单向分为内传和外传两种 • 内传指指定域信任本地域 • 外传指本地域信任指定域 Chapter
跨域访问资源 • 应用AGDLP规则实现跨域访问 • 具体规则是 • 1)被信任域的帐户加入到本域的全局组 • 2)被信任域的全局组加入到信任域的本地域组 • 3)给信任域的本地域组设置权限 Chapter
创建林信任2-1 • 林信任的意义 • 如果两个林中有许多域,要跨域访问资源就需要创建很多个外部信任 • 在林根域之间建立林信任就不需要创建多个外部信任,因为林信任是可传递的 • 创建林信任与创建外部信任方法类似 • 不同的是需要升级林功能级别为Windows Server 2003 Chapter
创建林信任2-2 • 提升林功能级别 • 提升域功能级别 • 创建林信任 Chapter
林信任的特点 • 林功能级别为Windows Server 2003才能创建 • 只有在林根域之间才能创建 • 在建立林信任的两个林中的每个域之间的信任关系是可传递的 • 信任方向有单向和双向两种 Chapter
阶段练习 • 背景 • BENET公司日常办公使用的域是benet.com.cn • 工程部最近做一个项目,搭建一个域为project.lcom • 该域存储项目的工作文档,存储在共享文件夹share中,供Benet.com.cn域中的工程部的员工访问 • 目标 • 理解信任关系的概念 • 掌握信任关系的创建 • 掌握利用信任关系实现跨域访问 Chapter
本章总结 林、域树和子域 自动建立 传递信任 双向信任 创建林、域树和子域 林、域树和子域 林中信任关系 林中跨域访问 多域间的访问 手工建立 不可传递 单向和双向 创建外部信任 跨域访问资源 林之间的信任 创建林信任 Chapter
实验 • 任务 • 创建外部信任 • 背景 • 阶段练习2 • 完成标准 使用user1使用UNC路径可以在project.lcom域的共享文件夹share中添加文件 Chapter
