林之间的信任关系
大家應該知道,使用WIN2003創建的AD(林)中的各個域之間的信任關系默認就是雙向信任可傳遞的.那么如果企業的應用中如果出現了兩個林或更多的林時,還要進行相互的資源訪問時,我們該怎么辦?因為默認只是同在一個林中才能雙向信任可傳遞,兩個林(AD)間沒有這個關系,那么就需要我們手動來配置林之間的信任關系,從而來保證不同林中的資源互訪.比如說企業之間的兼并問題,兩個公司之前都使用的是MS的AD來管理,那么大家可想而知這兩家企業之前肯定是兩個林,那么現在兼并后,如何讓這兩個林之間能夠建立信任關系嗎?都有什么方法呢?那今天我們就來學習一下如何創建林之間的信任關系! 在一個林中林之間的信任分為外部信任和林信任兩種 a)外部信任是指在不同林的域之間創建的不可傳遞的信任?
b)林信任是Windows 2003林根域之間建立的信任,是WINDOWS SERVER 2003林根域之間建立的信任,為任一林內的各個域之間提供一種單向或雙向的可傳遞信任關系 1.創建外部信任 創建外部信任之前需要設置DNS轉發器:在兩個林的DC之間的DNS服務器各配置轉發器:
在project域中能解析benet.com.cn
在benet域中能解析project.lcom a)首先我們在APTECH.COM域的DC上配置DNS服務器設置轉發器,把所有BENET.NET域的解析工作都轉發到192.168.6.6這臺機器上: 配置后DNS轉發后去PING一下APTECH.COM,看是否連通,如果通即可: 然后再在另一個域BENET.NET中的DC的DNS服務器也同樣設置DNS轉發,把APTECH.COM的轉發到192.168.6.1的機器上來: 同樣PING一下,看是否能PING通: b)準備工作做好后,就開始創建外部信任: 首先在APTECH.COM域的DC上打開"AD域和信任關系"工具,在APTECH.COM域的"屬性"中的"信任"選項卡: 單擊"新建信任": 輸入信任名稱(這里要注意是你這個域要信任的域): 選擇"單向:外傳": 雙向:本地域信任指定域,同時指定域信任本地域 單向:內傳:指定域信任本地域(換句話說就是,你信任我的關系) 單向:外傳:本地域信任指定域(例如,APTECH.COM域信任BENET.NET域,我信任你的關系) 注意:由于信任關系是在兩個域之間建立的,如果在域A(本地域)建立一個"單向:外傳"信任,則需要在域B(指定域)必須建立一個"單向:內傳"信任.但如果選擇了"這個域和指定的域"單選按鈕,就會在指定域自動建立一個"單向:內傳"的信任! 輸入指定域中有管理權限的帳戶名稱和密碼: c)創建完成后,驗證方法可以使用: 在APTECH.COM域的DC上查看信任關系: 在BENET.NET域的DC上查看信任關系: 還有一種驗證方法就是被信任域的用戶可以到信任域的計算機上登錄,在信任域的計算機上的登錄對話框中有被信任域名,說明可以輸入被信任域的帳戶登錄(前提是要賦予該帳戶登錄的權限): 但是否能登錄還是要看權限,因為默認情況下是不能登錄到DC的,那么在本地域的"域控制器安全策略"中打開"安全策略-"本地策略"-""用戶權限分配"-"允許在本地登錄"中添加被信任域的管理員即可! d)林之間的外部信任的特點: 手工建立
???????? 林之間的信任關系需要手工創建
??? 信任關系不可傳遞
???????? 林中的域的信任關系是不可傳遞的
???????? 例如,域A直接信任域B,域B直接信任域C,不能得出域A信任域C的結論
??? 信任方向有單向和雙向兩種
???????? 單向分為內傳和外傳兩種
???????? 內傳指指定域信任本地域
???????? 外傳指本地域信任指定域 e)創建好林中的信任關系后可以進行跨域訪問資源 應用AGDLP規則實現跨域訪問
具體規則是:
??? 1)被信任域的帳戶加入到本域的全局組
??? 2)被信任域的全局組加入到信任域的本地域組
??? 3)給信任域的本地域組設置權限 2.創建林信任 外部信任為不同域之間跨域訪問資源提供了方法,但如果兩個林中有許多域,要跨域訪問資源就需要常見很多個外部信任,有沒有簡單方法呢?當然是有的,那就是只用在林根域之間建立林信任就不需要創建多個外部信任,因為林信任是可傳遞的. 創建林信任與創建外部信任的方法類似,不同的是在創建林信任之前要升級林功能級別為WINDOWS SERVER 2003模式.(解釋一下,在WIN2003中創建的域模式共有三種,NT混合模式,WIN2000本機模式和WIN2003純模式,域模式是用來為了兼容老版本操作系統的域控制器,而限制某些新的功能.)這是創建林信任的前提條件.升級林功能級別之前,需要將林中所有域的域功能級別設置為WIN2000模式或WIN2003模式. a)首先提升域功能級別 b)在提升林級別 c)首先在APTECH.COM域的DC上打開"AD域和信任關系"工具,在APTECH.COM域的"屬性"中的"信任"選項卡,在信任類型中選擇"林信任": d)選擇"單向:外傳": e)選擇"全林性身份驗證",WINS將自動對指定林的所有用戶使用本地林的所有資源進行身份驗證: f)完成林信任的創建: g)驗證方法:各自查看信任關系: 林信任的特點: 1)林功能級別為Windows Server 2003才能創建
??? 2)只有在林根域之間才能創建
??? 3)在建立林信任的兩個林中的每個域之間的信任關系是可傳遞的
??? 4)信任方向有單向和雙向兩種
本文轉自 nick_zp 51CTO博客,原文鏈接:http://blog.51cto.com/nickzp/40363,如需轉載請自行聯系原作者
b)林信任是Windows 2003林根域之間建立的信任,是WINDOWS SERVER 2003林根域之間建立的信任,為任一林內的各個域之間提供一種單向或雙向的可傳遞信任關系 1.創建外部信任 創建外部信任之前需要設置DNS轉發器:在兩個林的DC之間的DNS服務器各配置轉發器:
在project域中能解析benet.com.cn
在benet域中能解析project.lcom a)首先我們在APTECH.COM域的DC上配置DNS服務器設置轉發器,把所有BENET.NET域的解析工作都轉發到192.168.6.6這臺機器上: 配置后DNS轉發后去PING一下APTECH.COM,看是否連通,如果通即可: 然后再在另一個域BENET.NET中的DC的DNS服務器也同樣設置DNS轉發,把APTECH.COM的轉發到192.168.6.1的機器上來: 同樣PING一下,看是否能PING通: b)準備工作做好后,就開始創建外部信任: 首先在APTECH.COM域的DC上打開"AD域和信任關系"工具,在APTECH.COM域的"屬性"中的"信任"選項卡: 單擊"新建信任": 輸入信任名稱(這里要注意是你這個域要信任的域): 選擇"單向:外傳": 雙向:本地域信任指定域,同時指定域信任本地域 單向:內傳:指定域信任本地域(換句話說就是,你信任我的關系) 單向:外傳:本地域信任指定域(例如,APTECH.COM域信任BENET.NET域,我信任你的關系) 注意:由于信任關系是在兩個域之間建立的,如果在域A(本地域)建立一個"單向:外傳"信任,則需要在域B(指定域)必須建立一個"單向:內傳"信任.但如果選擇了"這個域和指定的域"單選按鈕,就會在指定域自動建立一個"單向:內傳"的信任! 輸入指定域中有管理權限的帳戶名稱和密碼: c)創建完成后,驗證方法可以使用: 在APTECH.COM域的DC上查看信任關系: 在BENET.NET域的DC上查看信任關系: 還有一種驗證方法就是被信任域的用戶可以到信任域的計算機上登錄,在信任域的計算機上的登錄對話框中有被信任域名,說明可以輸入被信任域的帳戶登錄(前提是要賦予該帳戶登錄的權限): 但是否能登錄還是要看權限,因為默認情況下是不能登錄到DC的,那么在本地域的"域控制器安全策略"中打開"安全策略-"本地策略"-""用戶權限分配"-"允許在本地登錄"中添加被信任域的管理員即可! d)林之間的外部信任的特點: 手工建立
???????? 林之間的信任關系需要手工創建
??? 信任關系不可傳遞
???????? 林中的域的信任關系是不可傳遞的
???????? 例如,域A直接信任域B,域B直接信任域C,不能得出域A信任域C的結論
??? 信任方向有單向和雙向兩種
???????? 單向分為內傳和外傳兩種
???????? 內傳指指定域信任本地域
???????? 外傳指本地域信任指定域 e)創建好林中的信任關系后可以進行跨域訪問資源 應用AGDLP規則實現跨域訪問
具體規則是:
??? 1)被信任域的帳戶加入到本域的全局組
??? 2)被信任域的全局組加入到信任域的本地域組
??? 3)給信任域的本地域組設置權限 2.創建林信任 外部信任為不同域之間跨域訪問資源提供了方法,但如果兩個林中有許多域,要跨域訪問資源就需要常見很多個外部信任,有沒有簡單方法呢?當然是有的,那就是只用在林根域之間建立林信任就不需要創建多個外部信任,因為林信任是可傳遞的. 創建林信任與創建外部信任的方法類似,不同的是在創建林信任之前要升級林功能級別為WINDOWS SERVER 2003模式.(解釋一下,在WIN2003中創建的域模式共有三種,NT混合模式,WIN2000本機模式和WIN2003純模式,域模式是用來為了兼容老版本操作系統的域控制器,而限制某些新的功能.)這是創建林信任的前提條件.升級林功能級別之前,需要將林中所有域的域功能級別設置為WIN2000模式或WIN2003模式. a)首先提升域功能級別 b)在提升林級別 c)首先在APTECH.COM域的DC上打開"AD域和信任關系"工具,在APTECH.COM域的"屬性"中的"信任"選項卡,在信任類型中選擇"林信任": d)選擇"單向:外傳": e)選擇"全林性身份驗證",WINS將自動對指定林的所有用戶使用本地林的所有資源進行身份驗證: f)完成林信任的創建: g)驗證方法:各自查看信任關系: 林信任的特點: 1)林功能級別為Windows Server 2003才能創建
??? 2)只有在林根域之間才能創建
??? 3)在建立林信任的兩個林中的每個域之間的信任關系是可傳遞的
??? 4)信任方向有單向和雙向兩種
本文轉自 nick_zp 51CTO博客,原文鏈接:http://blog.51cto.com/nickzp/40363,如需轉載請自行聯系原作者
總結
- 上一篇: 高精度PP-YOLOE
- 下一篇: 含苞待放时