多域間的訪問

1、Chapter1 第8章Chapter2本章目標(biāo) 理解信任關(guān)系的概念 掌握林和子域的創(chuàng)建 掌握信任關(guān)系的創(chuàng)建 掌握AGDLP規(guī)則 了解林信任的概念Chapter3本章結(jié)構(gòu)多域間的訪問多域間的訪問林、域樹和子域林、域樹和子域林之間的信任林之間的信任創(chuàng)建外部信任創(chuàng)建外部信任林、域樹和子域林、域樹和子域創(chuàng)建林、域樹和子域創(chuàng)建林、域樹和子域林中信任關(guān)系林中信任關(guān)系跨域訪問資跨域訪問資源源林中跨域訪問林中跨域訪問創(chuàng)建林信任創(chuàng)建林信任Chapter4林、域樹和子域 這3個(gè)選項(xiàng)應(yīng)選擇哪個(gè)Chapter5域樹與子域 域樹是共用連續(xù)域名空間的Windows域 向域樹中添加的任何新域都叫做子域 Chapter6林

2、 單個(gè)域樹或者多個(gè)域樹構(gòu)成林 林中的不同域樹不共用連續(xù)的域名空間 Chapter7林的根域2-1 在林中創(chuàng)建的第一個(gè)域叫做林的根域 林的根域存在兩個(gè)預(yù)定義的組 Enterprise Admins Schema AdminsChapter8林的根域2-2 企業(yè)管理組：企業(yè)管理組：可以對(duì)活動(dòng)目可以對(duì)活動(dòng)目錄中整個(gè)林作錄中整個(gè)林作修改，例如添修改，例如添加子域加子域 架構(gòu)管理組：架構(gòu)管理組：可以對(duì)活動(dòng)目可以對(duì)活動(dòng)目錄中整個(gè)林作錄中整個(gè)林作架構(gòu)修改架構(gòu)修改 Chapter9創(chuàng)建林、域樹和子域 安裝DC應(yīng)具備的條件 創(chuàng)建林 創(chuàng)建域樹 創(chuàng)建子域Chapter10安裝DC應(yīng)具備的條件 安裝者必須具有本地管理

3、員權(quán)限 操作系統(tǒng)版本必須滿足條件 本地磁盤至少有一個(gè)分區(qū)是NTFS文件系統(tǒng) 有TCP/IP設(shè)置（IP地址、子網(wǎng)掩碼等） 有相應(yīng)的DNS服務(wù)器支持 有足夠的可用空間Chapter11 新域的NetBIOS名 數(shù)據(jù)庫(kù)和日志文件文件夾 DNS注冊(cè)診斷 域兼容性 共享的系統(tǒng)卷 創(chuàng)建林 是否創(chuàng)建新域 新域的DNS全名 還原模式密碼 Chapter12創(chuàng)建子域 創(chuàng)建新域 創(chuàng)建子域 網(wǎng)絡(luò)憑據(jù) 子域安裝 NetBIOS域名 操作系統(tǒng)兼容性 目錄服務(wù)還原模式的管理員密碼 子域安裝完成 Chapter13創(chuàng)建林中域樹 創(chuàng)建現(xiàn)有林中的域樹 網(wǎng)絡(luò)憑據(jù) 新域目錄樹 安裝完成 驗(yàn)證域樹的安裝Chapter14在一個(gè)林中創(chuàng)

4、建多個(gè)域的原因 部門（或分公司）之間有不同的密碼要求，可以針對(duì)部門（或分公司）創(chuàng)建域 有大量的活動(dòng)目錄對(duì)象，可以分解成多個(gè)域，使每個(gè)域活動(dòng)目錄對(duì)象較少 分散的網(wǎng)絡(luò)管理，而不是由一個(gè)域管理員管理，多個(gè)域意味著有多個(gè)域管理員 對(duì)復(fù)制進(jìn)行更多的控制Chapter15林中的信任關(guān)系2-1 Chapter16林中的信任關(guān)系2-2 林中的默認(rèn)信任關(guān)系的特點(diǎn) 自動(dòng)建立 林中的域之間的信任關(guān)系是在創(chuàng)建子域或者域樹時(shí)自動(dòng)創(chuàng)建的 傳遞信任 林中的域的信任關(guān)系是可傳遞的 如域A直接信任域B，域B直接信任域C，則域A信任域C 雙向信任 在兩個(gè)域之間有兩個(gè)方向上的兩條信任路徑 例如，域A信任域B，域B信任域AChapt

5、er17查看信任關(guān)系 父子信任：在同一個(gè)域樹中父域和子域之間 樹根信任：在同一個(gè)林中的兩個(gè)域樹之間 Chapter18林中跨域訪問 AGDLP規(guī)則的含義 1）將用戶賬戶加入全局組 2）將全局組加入本地域組 3）給本地域組賦權(quán)限 本例中實(shí)現(xiàn)跨域訪問的具體步驟 1）將user1、user2、user3加入到全局組global1 2）將benet域的全局組加入到bj域的本地域組local1 3）在share文件夾的【安全】和【共享】屬性中給local1設(shè)置權(quán)限 4）user1、user2、user3訪問文件夾share Chapter19階段練習(xí)J背景JBENET公司的總部組建了一個(gè)林的根域，域名為

6、J北 京 有 個(gè) 分 公 司 需 要 創(chuàng) 建 子 域 ， 域 名 為 J總部的部分賬戶有權(quán)訪問分公司域中的資源 J目標(biāo)J掌握子域的創(chuàng)建J掌握AGDLP規(guī)則的跨域應(yīng)用Chapter20林之間的信任 林之間的信任分為外部信任和林信任 外部信任是指在不同林的域之間創(chuàng)建的不可傳遞的信任 林信任是Windows 2003林根域之間建立的信任 為任一林內(nèi)的各個(gè)域之間提供一種單向或雙向的可傳遞信任關(guān)系 Chapter21創(chuàng)建外部信任2-1 創(chuàng)建外部信任之前需要設(shè)置DNS轉(zhuǎn)發(fā)器 在project域中能解析 在benet域中能解析project.lcomChapter22創(chuàng)建外部信任2-2 1）右擊projec

7、t.lcom域名|【屬性】|【信任】 2）信任名稱 3）選擇信任的方向?yàn)椤皢蜗颍和鈧鳌?4）選擇信任方 “這個(gè)域和指定的域” 5）鍵入指定的域的有管理權(quán)限的賬戶和密碼 6）創(chuàng)建完畢 7）選擇“是，確認(rèn)傳入信任” Chapter23驗(yàn)證信任關(guān)系 信任類型為外部 可傳遞性為否 信任域的登錄對(duì)話框 Chapter24外部信任的特點(diǎn) 手工建立 林之間的信任關(guān)系需要手工創(chuàng)建 信任關(guān)系不可傳遞 林中的域的信任關(guān)系是不可傳遞的 例如，域A直接信任域B，域B直接信任域C，不能得出域A信任域C的結(jié)論 信任方向有單向和雙向兩種 單向分為內(nèi)傳和外傳兩種 內(nèi)傳指指定域信任本地域 外傳指本地域信任指定域Chapter2

8、5跨域訪問資源 應(yīng)用AGDLP規(guī)則實(shí)現(xiàn)跨域訪問 具體規(guī)則是 1）被信任域的帳戶加入到本域的全局組 2）被信任域的全局組加入到信任域的本地域組 3）給信任域的本地域組設(shè)置權(quán)限Chapter26創(chuàng)建林信任2-1 林信任的意義 如果兩個(gè)林中有許多域，要跨域訪問資源就需要?jiǎng)?chuàng)建很多個(gè)外部信任 在林根域之間建立林信任就不需要?jiǎng)?chuàng)建多個(gè)外部信任，因?yàn)榱中湃问强蓚鬟f的 創(chuàng)建林信任與創(chuàng)建外部信任方法類似 不同的是需要升級(jí)林功能級(jí)別為Windows Server 2003Chapter27創(chuàng)建林信任2-2 提升域功能級(jí)別 提升林功能級(jí)別 創(chuàng)建林信任 Chapter28林信任的特點(diǎn) 林功能級(jí)別為Windows Ser

9、ver 2003才能創(chuàng)建 只有在林根域之間才能創(chuàng)建 在建立林信任的兩個(gè)林中的每個(gè)域之間的信任關(guān)系是可傳遞的 信任方向有單向和雙向兩種Chapter29階段練習(xí)J背景JBENET公司日常辦公使用的域是J工 程 部 最 近 做 一 個(gè) 項(xiàng) 目 ， 搭 建 一 個(gè) 域 為project.lcomJ該域存儲(chǔ)項(xiàng)目的工作文檔，存儲(chǔ)在共享文件夾share中，供B域中的工程部的員工訪問J目標(biāo)J理解信任關(guān)系的概念J掌握信任關(guān)系的創(chuàng)建J掌握利用信任關(guān)系實(shí)現(xiàn)跨域訪問Chapter30本章總結(jié)多域間的訪問多域間的訪問林、域樹和子域林、域樹和子域林之間的信任林之間的信任創(chuàng)建外部信任創(chuàng)建外部信任林、域樹和子域林、域樹和子域創(chuàng)建林、域樹和子域創(chuàng)建林、域樹和子域林中信任關(guān)系林中信任關(guān)系跨域訪問資跨域訪問資源源林中跨域訪問林中