多域間的概念

當一個林中存在多個域，域和域之間要訪問，我們就稱為多域之間的訪問， 一個林中可能存在以下的域：

名稱作用

子域	繼續向任何一個域中添加域控制器叫做子域（子域的后綴名和父域相同）
域樹	由一個或者多個具有連續名稱的子域組成 （父域為baidu.com,子域a.baidu.com,b.baidu.com 那么這兩個子域就是baidu.com的樹域）
域林	由一個或者多個不具有連續名稱的域樹組成，但是域樹和域樹之間還是存在連續 （如域樹baidu.com 和 域樹 uu.com 就是兩個名稱不同的域樹，這樣就構成了域林）DNS需指向第一個在林中創建的DC

三者的創建方法如下

測試環境

主機IP地址

DC1 （a.com）	192.168.1.10
DC2 （b.com）	192.168.1.20
客戶端 （屬于 a.com）	192.168.1.50

環境搭建

DC1的搭建（a.com）
搭建展示如下一張截圖即可，省略部分截圖

DC2的搭建（b.com）
注意，這一臺的DNS要指向DC1,否則這里驗證不成功

客戶端加入a.com域
DNS需指向DC1

林中域之間的信任
默認狀態下，只要創建了子域以及樹域，都會自動創建信任關系，信任是域以及林之間建立關系的首要條件，如果沒有信任關系，那么域和域之間是不能夠進行訪問的，因為我們這里創建的是域樹，所有信任類型為樹根信任，還有父子信任等
單向信任不可傳遞
雙向信任可傳遞
如：A信任B，B信任C，針對于單向信任，那么不能夠得出A信任C。針對于雙向信任，可以得出A信任C

以上就是本次實驗所需的測試環境，記得拍攝快照

跨域訪問共享文件夾實驗

實驗要求

1.在b.com 域控上創建一個共享文件夾（需提前將共享文件夾的user權限去掉，防止其他用戶通過IP地址就能夠訪問到該共享文件夾） 2.然后使用AGDLP規則讓Windows 7 客戶端能夠訪問到該共享文件夾

搭建過程如下

DNS轉發器的配置（DC1，DC2都需要執行 操作一致）
注意：DC2的DNS域要寫為a.com IP地址為192.168.1.10

在b.com域控上新建共享文件夾 （DC2執行即可）
注意：這里需要將user的權限去掉，否則其他用戶可以通過輸入IP地址訪問到該文件夾，這樣我們的這個實驗就沒有效果了

AGDLP規則創建

AGDLP規則概述： 1.將A用戶加入到全局組G當中 2.將全局組G加入到本地域組DL中 3.將本地域組DL賦予權限P用戶和全局組在訪問端創建，本地域組和權限在被訪問端創建

創建用戶usera（用于訪問共享文件夾的用戶）

創建全局組（a.com上進行）

將用戶usera加入到該全局組里面（a.com 上進行）

創建本地域組（b.com上進行）

然后將a.com上的全局組加入到b.com上本地域組即可 （在b.com上進行）

給共享文件夾賦予權限

Windows 7 客戶端使用usera用戶登錄測試

訪問測試

注意，可以訪問的用戶只能夠是a.com上屬于全局組里面的用戶才能夠訪問，不是全局組里面的用戶，都不能夠進行訪問

補充：只要兩個域之間建立了信任關系，那么計算在哪一個域上創建用戶，都可以實現跨域登錄

跨林訪問共享文件夾實驗

上面那個實驗是在林中進行的，是域和域之間的訪問，接下來的實驗我們是在林和林之間進行訪問

林之間的信任關系

外部信任（不可傳遞）的分類： 單向：單向內傳和單向外傳（只能夠一邊傳） 雙向：兩邊都可以互傳 不可傳遞：比如：A信任B，B信任C,那么不能夠得出A信任C林信任（可傳遞） 單向：單向內傳和單向外傳（只能夠一邊傳） 雙向：兩邊都可以互傳 可傳遞：比如：A信任B，B信任C,那么能夠得出A信任C單向內傳：在訪問端進行（訪問共享文件夾端） 單向外傳：在被訪問端進行（設置共享文件夾端） 雙向傳遞可以在任何一臺DC上進行配置

測試環境

測試環境，我們基于上面的來，a.com 和 Windows 7 恢復快照，然后我們重新創建一個b.com

DC2 （b.com）
DNS無需指向DC1了，指向本地即可，然后我們這里選擇添加新林

實驗要求

a.com域中的windows 7能夠訪問b.com上的共享文件夾，兩個林之間創建外部信任關系，只允許a.com域中的主機訪問b.com ，不允許b.com訪問a.com

DNS轉發的設置（DC1 DC2 都要執行 操作一致）

然后在uu.com上創建共享文件夾
這里一樣去掉user的權限

建立信任關系 （在 b.com上進行 ）
默認狀態下，兩個林之間是沒有任何信任關系的

點擊下一步
這里輸入a.com域的名稱

點擊下一步
這里選擇外部信任

這里選擇單向外傳（因為我們在b.com上設置的，如果在a.com上設置就需要設置為單向內傳）

我們這里選擇第二個選項：
只是這個域：如果選擇了這個，那這一臺創建完成以后，我們還需要對方上在來執行一遍這個操作
選擇此域和指定域：如果選擇了這個，那么代表這里創建了之后，對方就會自動創建，我們就不需要去對方在執行一遍上面的操作了

輸入a.com管理員密碼進行驗證

然后默認點下去即可，創建完成以后就是如下的樣子了

在a.com上查看

AGDLP規則的創建

在a.com上創建用戶userb以及全局組

創建全局組

然后將用戶userb 加入到該全局組里面去即可

在b.com上創建本地域組以及賦予共享文件權限

然后將a.com上的全局組加入到b.com上的本地域組里面
我們在查找的時候，需要輸入對方管理員密碼進行驗證

添加完成以后是這樣的

然后將共享文件夾的權限賦予本地域組

Windows 7 客戶端訪問測試

整個實驗搭建完成，效果達到

總結

以上是生活随笔為你收集整理的Windows Server 2016 实现跨域、跨林之间的访问的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。