《Windows多域间的访问-格式.ppt》由会员分享,可在线阅读,更多相关《Windows多域间的访问-格式.ppt(31页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、多域间的访问,Page 2/32,本章目标,理解信任关系的概念 掌握林和子域的创建 掌握信任关系的创建 掌握AGDLP规则 了解林信任的概念,Page 3/32,本章结构,多域间的访问,林、域树和子域,林之间的信任,创建外部信任,林、域树和子域,创建林、域树和子域,林中信任关系,跨域访问资源,林中跨域访问,创建林信任,Page 4/32,林、域树和子域,这3个选项应选择哪个,Page 5/32,域树与子域,域树是共用连续域名空间的Windows域 向域树中添加的任何新域都叫做子域,Page 6/32,林,单个域树或者多个域树构成林 林中的不同域树不共用连续的域名空间,Page 7/32,林的根
2、域2-1,在林中创建的第一个域叫做林的根域 林的根域存在两个预定义的组 Enterprise Admins Schema Admins,Page 8/32,林的根域2-2,企业管理组:可以对活动目录中整个林作修改,例如添加子域,架构管理组:可以对活动目录中整个林作架构修改,Page 9/32,创建林、域树和子域,安装DC应具备的条件 创建林 创建域树 创建子域,Page 10/32,安装DC应具备的条件,安装者必须具有本地管理员权限 操作系统版本必须满足条件 本地磁盘至少有一个分区是NTFS文件系统 有TCP/IP设置(IP地址、子网掩码等) 有相应的DNS服务器支持 有足够的可用空间,Pag
3、e 11/32,新域的NetBIOS名,数据库和日志文件文件夹,DNS注册诊断,域兼容性,共享的系统卷,创建林,是否创建新域,新域的DNS全名,还原模式密码,Page 12/32,创建子域,创建新域,创建子域,网络凭据,子域安装,NetBIOS域名,操作系统兼容性,目录服务还原模式的管理员密码,子域安装完成,Page 13/32,创建林中域树,创建现有林中的域树,网络凭据,新域目录树,安装完成,验证域树的安装,Page 14/32,在一个林中创建多个域的原因,部门(或分公司)之间有不同的密码要求,可以针对部门(或分公司)创建域 有大量的活动目录对象,可以分解成多个域,使每个域活动目录对象较少
4、分散的网络管理,而不是由一个域管理员管理,多个域意味着有多个域管理员 对复制进行更多的控制,Page 15/32,林中的信任关系2-1,Page 16/32,林中的信任关系2-2,林中的默认信任关系的特点 自动建立 林中的域之间的信任关系是在创建子域或者域树时自动创建的 传递信任 林中的域的信任关系是可传递的 如域A直接信任域B,域B直接信任域C,则域A信任域C 双向信任 在两个域之间有两个方向上的两条信任路径 例如,域A信任域B,域B信任域A,Page 17/32,查看信任关系,父子信任:在同一个域树中父域和子域之间,树根信任:在同一个林中的两个域树之间,Page 18/32,林中跨域访问,
5、AGDLP规则的含义 1)将用户账户加入全局组 2)将全局组加入本地域组 3)给本地域组赋权限 本例中实现跨域访问的具体步骤 1)将user1、user2、user3加入到全局组global1 2)将benet域的全局组加入到bj域的本地域组local1 3)在share文件夹的【安全】和【共享】属性中给local1设置权限 4)user1、user2、user3访问文件夹share,Page 19/32,阶段练习,背景 BENET公司的总部组建了一个林的根域,域名为 北京有个分公司需要创建子域,域名为 总部的部分账户有权访问分公司域中的资源 目标 掌握子域的创建 掌握AGDLP规则的跨域应用
6、,Page 20/32,林之间的信任,林之间的信任分为外部信任和林信任 外部信任是指在不同林的域之间创建的不可传递的信任 林信任是Windows 2003林根域之间建立的信任 为任一林内的各个域之间提供一种单向或双向的可传递信任关系,Page 21/32,创建外部信任2-1,创建外部信任之前需要设置DNS转发器 在project域中能解析 在benet域中能解析project.lcom,Page 22/32,创建外部信任2-2,1)右击project.lcom域名|【属性】|【信任】,2)信任名称,3)选择信任的方向为“单向:外传”,4)选择信任方 “这个域和指定的域”,5)键入指定的域的有管
7、理权限的账户和密码,6)创建完毕,7)选择“是,确认传入信任”,Page 23/32,验证信任关系,信任类型为外部 可传递性为否,信任域的登录对话框,Page 24/32,外部信任的特点,手工建立 林之间的信任关系需要手工创建 信任关系不可传递 林中的域的信任关系是不可传递的 例如,域A直接信任域B,域B直接信任域C,不能得出域A信任域C的结论 信任方向有单向和双向两种 单向分为内传和外传两种 内传指指定域信任本地域 外传指本地域信任指定域,Page 25/32,跨域访问资源,应用AGDLP规则实现跨域访问 具体规则是 1)被信任域的帐户加入到本域的全局组 2)被信任域的全局组加入到信任域的本
8、地域组 3)给信任域的本地域组设置权限,Page 26/32,创建林信任2-1,林信任的意义 如果两个林中有许多域,要跨域访问资源就需要创建很多个外部信任 在林根域之间建立林信任就不需要创建多个外部信任,因为林信任是可传递的 创建林信任与创建外部信任方法类似 不同的是需要升级林功能级别为Windows Server 2003,Page 27/32,创建林信任2-2,提升域功能级别,提升林功能级别,创建林信任,Page 28/32,林信任的特点,林功能级别为Windows Server 2003才能创建 只有在林根域之间才能创建 在建立林信任的两个林中的每个域之间的信任关系是可传递的 信任方向有
9、单向和双向两种,Page 29/32,阶段练习,背景 BENET公司日常办公使用的域是 工程部最近做一个项目,搭建一个域为project.lcom 该域存储项目的工作文档,存储在共享文件夹share中,供B域中的工程部的员工访问 目标 理解信任关系的概念 掌握信任关系的创建 掌握利用信任关系实现跨域访问,Page 30/32,本章总结,多域间的访问,林、域树和子域,林之间的信任,创建外部信任,林、域树和子域,创建林、域树和子域,林中信任关系,跨域访问资源,林中跨域访问,创建林信任,自动建立 传递信任 双向信任,手工建立 不可传递 单向和双向,Page 31/32,实验,任务 创建外部信任 背景 阶段练习2 完成标准 使用user1使用UNC路径可以在project.lcom域的共享文件夹share中添加文件,