Windows多域間的訪問-格式PPT

多域間的訪問

Page2/32本章目標理解信任關系的概念掌握林和子域的創(chuàng)建掌握信任關系的創(chuàng)建掌握AGDLP規(guī)則了解林信任的概念Page3/32本章結(jié)構(gòu)多域間的訪問林、域樹和子域林之間的信任創(chuàng)建外部信任林、域樹和子域創(chuàng)建林、域樹和子域林中信任關系跨域訪問資源林中跨域訪問創(chuàng)建林信任Page4/32林、域樹和子域這3個選項應選擇哪個Page5/32域樹與子域域樹是共用連續(xù)域名空間的Windows域向域樹中添加的任何新域都叫做子域Page6/32林單個域樹或者多個域樹構(gòu)成林林中的不同域樹不共用連續(xù)的域名空間Page7/32林的根域2-1在林中創(chuàng)建的第一個域叫做林的根域林的根域存在兩個預定義的組EnterpriseAdminsSchemaAdminsPage8/32林的根域2-2企業(yè)管理組：可以對活動目錄中整個林作修改，例如添加子域

架構(gòu)管理組：可以對活動目錄中整個林作架構(gòu)修改

Page9/32創(chuàng)建林、域樹和子域安裝DC應具備的條件創(chuàng)建林創(chuàng)建域樹創(chuàng)建子域Page10/32安裝DC應具備的條件安裝者必須具有本地管理員權(quán)限操作系統(tǒng)版本必須滿足條件本地磁盤至少有一個分區(qū)是NTFS文件系統(tǒng)有TCP/IP設置（IP地址、子網(wǎng)掩碼等）有相應的DNS服務器支持有足夠的可用空間Page11/32新域的NetBIOS名數(shù)據(jù)庫和日志文件文件夾DNS注冊診斷域兼容性共享的系統(tǒng)卷創(chuàng)建林是否創(chuàng)建新域新域的DNS全名還原模式密碼Page12/32創(chuàng)建子域創(chuàng)建新域創(chuàng)建子域網(wǎng)絡憑據(jù)子域安裝NetBIOS域名操作系統(tǒng)兼容性目錄服務還原模式的管理員密碼子域安裝完成Page13/32創(chuàng)建林中域樹創(chuàng)建現(xiàn)有林中的域樹網(wǎng)絡憑據(jù)新域目錄樹安裝完成驗證域樹的安裝Page14/32在一個林中創(chuàng)建多個域的原因部門（或分公司）之間有不同的密碼要求，可以針對部門（或分公司）創(chuàng)建域有大量的活動目錄對象，可以分解成多個域，使每個域活動目錄對象較少分散的網(wǎng)絡管理，而不是由一個域管理員管理，多個域意味著有多個域管理員

對復制進行更多的控制Page15/32林中的信任關系2-1Page16/32林中的信任關系2-2林中的默認信任關系的特點自動建立林中的域之間的信任關系是在創(chuàng)建子域或者域樹時自動創(chuàng)建的傳遞信任林中的域的信任關系是可傳遞的如域A直接信任域B，域B直接信任域C，則域A信任域C雙向信任在兩個域之間有兩個方向上的兩條信任路徑例如，域A信任域B，域B信任域APage17/32查看信任關系

父子信任：在同一個域樹中父域和子域之間樹根信任：在同一個林中的兩個域樹之間Page18/32林中跨域訪問

AGDLP規(guī)則的含義1）將用戶賬戶加入全局組2）將全局組加入本地域組3）給本地域組賦權(quán)限本例中實現(xiàn)跨域訪問的具體步驟1）將user1、user2、user3加入到全局組global12）將benet域的全局組加入到bj域的本地域組local1

3）在share文件夾的【安全】和【共享】屬性中給local1設置權(quán)限4）user1、user2、user3訪問文件夾share

Page19/32階段練習背景BENET公司的總部組建了一個林的根域，域名為北京有個分公司需要創(chuàng)建子域，域名為

總部的部分賬戶有權(quán)訪問分公司域中的資源目標掌握子域的創(chuàng)建掌握AGDLP規(guī)則的跨域應用Page20/32林之間的信任林之間的信任分為外部信任和林信任外部信任是指在不同林的域之間創(chuàng)建的不可傳遞的信任林信任是Windows2003林根域之間建立的信任為任一林內(nèi)的各個域之間提供一種單向或雙向的可傳遞信任關系Page21/32創(chuàng)建外部信任2-1創(chuàng)建外部信任之前需要設置DNS轉(zhuǎn)發(fā)器在project域中能解析在benet域中能解析project.lcomPage22/32創(chuàng)建外部信任2-21）右擊project.lcom域名|【屬性】|【信任】2）信任名稱3）選擇信任的方向為“單向：外傳”4）選擇信任方“這個域和指定的域”5）鍵入指定的域的有管理權(quán)限的賬戶和密碼6）創(chuàng)建完畢7）選擇“是，確認傳入信任”Page23/32驗證信任關系信任類型為外部可傳遞性為否信任域的登錄對話框Page24/32外部信任的特點手工建立林之間的信任關系需要手工創(chuàng)建信任關系不可傳遞林中的域的信任關系是不可傳遞的例如，域A直接信任域B，域B直接信任域C，不能得出域A信任域C的結(jié)論信任方向有單向和雙向兩種單向分為內(nèi)傳和外傳兩種內(nèi)傳指指定域信任本地域外傳指本地域信任指定域Page25/32跨域訪問資源應用AGDLP規(guī)則實現(xiàn)跨域訪問具體規(guī)則是1）被信任域的帳戶加入到本域的全局組2）被信任域的全局組加入到信任域的本地域組3）給信任域的本地域組設置權(quán)限Page26/32創(chuàng)建林信任2-1林信任的意義如果兩個林中有許多域，要跨域訪問資源就需要創(chuàng)建很多個外部信任在林根域之間建立林信任就不需要創(chuàng)建多個外部信任，因為林信任是可傳遞的創(chuàng)建林信任與創(chuàng)建外部信任方法類似不同的是需要升級林功能級別為WindowsServer2003Page27/32創(chuàng)建林信任2-2提升域功能級別

提升林功能級別

創(chuàng)建林信任

Page28/32林信任的特點

林功能級別為WindowsServer2003才能創(chuàng)建只有在林根域之間才能創(chuàng)建在建立林信任的兩個林中的每個域之間的信任關系是可傳遞的信任方向有單向和雙向兩種Page29/32階段練習背景BENET公司日常辦公使用的域是工程部最近做一個項目，搭建一個域為project.lcom該域存儲項目的工作文檔，存儲在共享文件夾share中，供B域中的工程部的員工訪問目標理解信任關系的概念掌握信任關系的創(chuàng)建掌握利用信任關系實現(xiàn)跨域訪問Page30/32本章總結(jié)多域間的訪問林、域樹和子域林之間的信任創(chuàng)建外部信任林、域樹和子域創(chuàng)建林、域樹和子域林中信任