多域間的訪問

1、Chapter1 第8章Chapter2本章目標(biāo) 理解信任關(guān)系的概念 掌握林和子域的創(chuàng)建 掌握信任關(guān)系的創(chuàng)建 掌握AGDLP規(guī)則 了解林信任的概念Chapter3本章結(jié)構(gòu)多域間的訪問多域間的訪問林、域樹和子域林、域樹和子域林之間的信任林之間的信任創(chuàng)建外部信任創(chuàng)建外部信任林、域樹和子域林、域樹和子域創(chuàng)建林、域樹和子域創(chuàng)建林、域樹和子域林中信任關(guān)系林中信任關(guān)系跨域訪問資跨域訪問資源源林中跨域訪問林中跨域訪問創(chuàng)建林信任創(chuàng)建林信任Chapter4林、域樹和子域 這3個選項應(yīng)選擇哪個Chapter5域樹與子域 域樹是共用連續(xù)域名空間的Windows域 向域樹中添加的任何新域都叫做子域 Chapter6林

2、 單個域樹或者多個域樹構(gòu)成林 林中的不同域樹不共用連續(xù)的域名空間 Chapter7林的根域2-1 在林中創(chuàng)建的第一個域叫做林的根域 林的根域存在兩個預(yù)定義的組 Enterprise Admins Schema AdminsChapter8林的根域2-2 企業(yè)管理組：企業(yè)管理組：可以對活動目可以對活動目錄中整個林作錄中整個林作修改，例如添修改，例如添加子域加子域 架構(gòu)管理組：架構(gòu)管理組：可以對活動目可以對活動目錄中整個林作錄中整個林作架構(gòu)修改架構(gòu)修改 Chapter9創(chuàng)建林、域樹和子域 安裝DC應(yīng)具備的條件 創(chuàng)建林 創(chuàng)建域樹 創(chuàng)建子域Chapter10安裝DC應(yīng)具備的條件 安裝者必須具有本地管理

3、員權(quán)限 操作系統(tǒng)版本必須滿足條件 本地磁盤至少有一個分區(qū)是NTFS文件系統(tǒng) 有TCP/IP設(shè)置（IP地址、子網(wǎng)掩碼等） 有相應(yīng)的DNS服務(wù)器支持 有足夠的可用空間Chapter11 新域的NetBIOS名 數(shù)據(jù)庫和日志文件文件夾 DNS注冊診斷 域兼容性 共享的系統(tǒng)卷 創(chuàng)建林 是否創(chuàng)建新域 新域的DNS全名 還原模式密碼 Chapter12創(chuàng)建子域 創(chuàng)建新域 創(chuàng)建子域 網(wǎng)絡(luò)憑據(jù) 子域安裝 NetBIOS域名 操作系統(tǒng)兼容性 目錄服務(wù)還原模式的管理員密碼 子域安裝完成 Chapter13創(chuàng)建林中域樹 創(chuàng)建現(xiàn)有林中的域樹 網(wǎng)絡(luò)憑據(jù) 新域目錄樹 安裝完成 驗證域樹的安裝Chapter14在一個林中創(chuàng)

4、建多個域的原因 部門（或分公司）之間有不同的密碼要求，可以針對部門（或分公司）創(chuàng)建域 有大量的活動目錄對象，可以分解成多個域，使每個域活動目錄對象較少 分散的網(wǎng)絡(luò)管理，而不是由一個域管理員管理，多個域意味著有多個域管理員 對復(fù)制進(jìn)行更多的控制Chapter15林中的信任關(guān)系2-1 Chapter16林中的信任關(guān)系2-2 林中的默認(rèn)信任關(guān)系的特點 自動建立 林中的域之間的信任關(guān)系是在創(chuàng)建子域或者域樹時自動創(chuàng)建的 傳遞信任 林中的域的信任關(guān)系是可傳遞的 如域A直接信任域B，域B直接信任域C，則域A信任域C 雙向信任 在兩個域之間有兩個方向上的兩條信任路徑 例如，域A信任域B，域B信任域AChapt

5、er17查看信任關(guān)系 父子信任：在同一個域樹中父域和子域之間 樹根信任：在同一個林中的兩個域樹之間 Chapter18林中跨域訪問 AGDLP規(guī)則的含義 1）將用戶賬戶加入全局組 2）將全局組加入本地域組 3）給本地域組賦權(quán)限 本例中實現(xiàn)跨域訪問的具體步驟 1）將user1、user2、user3加入到全局組global1 2）將benet域的全局組加入到bj域的本地域組local1 3）在share文件夾的【安全】和【共享】屬性中給local1設(shè)置權(quán)限 4）user1、user2、user3訪問文件夾share Chapter19階段練習(xí)J背景JBENET公司的總部組建了一個林的根域，域名為

6、J北 京 有 個 分 公 司 需 要 創(chuàng) 建 子 域 ， 域 名 為 J總部的部分賬戶有權(quán)訪問分公司域中的資源 J目標(biāo)J掌握子域的創(chuàng)建J掌握AGDLP規(guī)則的跨域應(yīng)用Chapter20林之間的信任 林之間的信任分為外部信任和林信任 外部信任是指在不同林的域之間創(chuàng)建的不可傳遞的信任 林信任是Windows 2003林根域之間建立的信任 為任一林內(nèi)的各個域之間提供一種單向或雙向的可傳遞信任關(guān)系 Chapter21創(chuàng)建外部信任2-1 創(chuàng)建外部信任之前需要設(shè)置DNS轉(zhuǎn)發(fā)器 在project域中能解析 在benet域中能解析project.lcomChapter22創(chuàng)建外部信任2-2 1）右擊projec

7、t.lcom域名|【屬性】|【信任】 2）信任名稱 3）選擇信任的方向為“單向：外傳” 4）選擇信任方 “這個域和指定的域” 5）鍵入指定的域的有管理權(quán)限的賬戶和密碼 6）創(chuàng)建完畢 7）選擇“是，確認(rèn)傳入信任” Chapter23驗證信任關(guān)系 信任類型為外部 可傳遞性為否 信任域的登錄對話框 Chapter24外部信任的特點 手工建立 林之間的信任關(guān)系需要手工創(chuàng)建 信任關(guān)系不可傳遞 林中的域的信任關(guān)系是不可傳遞的 例如，域A直接信任域B，域B直接信任域C，不能得出域A信任域C的結(jié)論 信任方向有單向和雙向兩種 單向分為內(nèi)傳和外傳兩種 內(nèi)傳指指定域信任本地域 外傳指本地域信任指定域Chapter2

8、5跨域訪問資源 應(yīng)用AGDLP規(guī)則實現(xiàn)跨域訪問 具體規(guī)則是 1）被信任域的帳戶加入到本域的全局組 2）被信任域的全局組加入到信任域的本地域組 3）給信任域的本地域組設(shè)置權(quán)限Chapter26創(chuàng)建林信任2-1 林信任的意義 如果兩個林中有許多域，要跨域訪問資源就需要創(chuàng)建很多個外部信任 在林根域之間建立林信任就不需要創(chuàng)建多個外部信任，因為林信任是可傳遞的 創(chuàng)建林信任與創(chuàng)建外部信任方法類似 不同的是需要升級林功能級別為Windows Server 2003Chapter27創(chuàng)建林信任2-2 提升域功能級別 提升林功能級別 創(chuàng)建林信任 Chapter28林信任的特點 林功能級別為Windows Ser

9、ver 2003才能創(chuàng)建 只有在林根域之間才能創(chuàng)建 在建立林信任的兩個林中的每個域之間的信任關(guān)系是可傳遞的 信任方向有單向和雙向兩種Chapter29階段練習(xí)J背景JBENET公司日常辦公使用的域是J工 程 部 最 近 做 一 個 項 目 ， 搭 建 一 個 域 為project.lcomJ該域存儲項目的工作文檔，存儲在共享文件夾share中，供B域中的工程部的員工訪問J目標(biāo)J理解信任關(guān)系的概念J掌握信任關(guān)系的創(chuàng)建J掌握利用信任關(guān)系實現(xiàn)跨域訪問Chapter30本章總結(jié)多域間的訪問多域間的訪問林、域樹和子域林、域樹和子域林之間的信任林之間的信任創(chuàng)建外部信任創(chuàng)建外部信任林、域樹和子域林、域樹和子域創(chuàng)建林、域樹和子域創(chuàng)建林、域樹和子域林中信任關(guān)系林中信任關(guān)系跨域訪問資跨域訪問資源源林中跨域訪問林中