WINDOWS SERVER 2003從入門到精通之林之間的信任關係
阿新 • • 發佈:2020-10-09
大家應該知道,使用WIN2003建立的AD(林)中的各個域之間的信任關係預設就是雙向信任可傳遞的.那麼如果企業的應用中如果出現了兩個林或更多的林時,還要進行相互的資源訪問時,我們該怎麼辦?因為預設只是同在一個林中才能雙向信任可傳遞,兩個林(AD)間沒有這個關係,那麼就需要我們手動來配置林之間的信任關係,從而來保證不同林中的資源互訪.比如說企業之間的兼併問題,兩個公司之前都使用的是MS的AD來管理,那麼大家可想而知這兩家企業之前肯定是兩個林,那麼現在兼併後,如何讓這兩個林之間能夠建立信任關係嗎?都有什麼方法呢?那今天我們就來學習一下如何建立林之間的信任關係!
在一個林中林之間的信任分為外部信任和林信任兩種
a)外部信任是指在不同林的域之間建立的不可傳遞的信任
b)林信任是Windows 2003林根域之間建立的信任,是WINDOWS SERVER 2003林根域之間建立的信任,為任一林內的各個域之間提供一種單向或雙向的可傳遞信任關係 1.建立外部信任 建立外部信任之前需要設定DNS轉發器:在兩個林的DC之間的DNS伺服器各配置轉發器:
在project域中能解析benet.com.cn
在benet域中能解析project.lcom
a)首先我們在APTECH.COM域的DC上配置DNS伺服器設定轉發器,把所有BENET.NET域的解析工作都轉發到192.168.6.6這臺機器上:
配置後DNS轉發後去PING一下APTECH.COM,看是否連通,如果通即可:
同樣PING一下,看是否能PING通:
b)準備工作做好後,就開始建立外部信任:
首先在APTECH.COM域的DC上開啟"AD域和信任關係"工具,在APTECH.COM域的"屬性"中的"信任"選項卡:
單擊"新建信任":
輸入信任名稱(這裡要注意是你這個域要信任的域):
選擇"單向:外傳":
雙向:本地域信任指定域,同時指定域信任本地域
單向:內傳:指定域信任本地域(換句話說就是,你信任我的關係)
單向:外傳:本地域信任指定域(例如,APTECH.COM域信任BENET.NET域,我信任你的關係)
輸入指定域中有管理許可權的帳戶名稱和密碼:
c)建立完成後,驗證方法可以使用:
在APTECH.COM域的DC上檢視信任關係:
在BENET.NET域的DC上檢視信任關係:
還有一種驗證方法就是被信任域的使用者可以到信任域的計算機上登入,在信任域的計算機上的登入對話方塊中有被信任域名,說明可以輸入被信任域的帳戶登入(前提是要賦予該帳戶登入的許可權):
林之間的信任關係需要手工建立
信任關係不可傳遞
林中的域的信任關係是不可傳遞的
例如,域A直接信任域B,域B直接信任域C,不能得出域A信任域C的結論
信任方向有單向和雙向兩種
單向分為內傳和外傳兩種
內傳指指定域信任本地域
外傳指本地域信任指定域 e)建立好林中的信任關係後可以進行跨域訪問資源 應用AGDLP規則實現跨域訪問
具體規則是:
1)被信任域的帳戶加入到本域的全域性組
2)被信任域的全域性組加入到信任域的本地域組
3)給信任域的本地域組設定許可權 2.建立林信任 外部信任為不同域之間跨域訪問資源提供了方法,但如果兩個林中有許多域,要跨域訪問資源就需要常見很多個外部信任,有沒有簡單方法呢?當然是有的,那就是隻用在林根域之間建立林信任就不需要建立多個外部信任,因為林信任是可傳遞的. 建立林信任與建立外部信任的方法類似,不同的是在建立林信任之前要升級林功能級別為WINDOWS SERVER 2003模式.(解釋一下,在WIN2003中建立的域模式共有三種,NT混合模式,WIN2000本機模式和WIN2003純模式,域模式是用來為了相容老版本作業系統的域控制器,而限制某些新的功能.)這是建立林信任的前提條件.升級林功能級別之前,需要將林中所有域的域功能級別設定為WIN2000模式或WIN2003模式.
a)首先提升域功能級別
b)在提升林級別
c)首先在APTECH.COM域的DC上開啟"AD域和信任關係"工具,在APTECH.COM域的"屬性"中的"信任"選項卡,在信任型別中選擇"林信任":
d)選擇"單向:外傳":
e)選擇"全林性身份驗證",WINS將自動對指定林的所有使用者使用本地林的所有資源進行身份驗證:
f)完成林信任的建立:
g)驗證方法:各自檢視信任關係:
林信任的特點:
1)林功能級別為Windows Server 2003才能建立
2)只有在林根域之間才能建立
3)在建立林信任的兩個林中的每個域之間的信任關係是可傳遞的
4)信任方向有單向和雙向兩種
b)林信任是Windows 2003林根域之間建立的信任,是WINDOWS SERVER 2003林根域之間建立的信任,為任一林內的各個域之間提供一種單向或雙向的可傳遞信任關係 1.建立外部信任 建立外部信任之前需要設定DNS轉發器:在兩個林的DC之間的DNS伺服器各配置轉發器:
在project域中能解析benet.com.cn
在benet域中能解析project.lcom
a)首先我們在APTECH.COM域的DC上配置DNS伺服器設定轉發器,把所有BENET.NET域的解析工作都轉發到192.168.6.6這臺機器上:
配置後DNS轉發後去PING一下APTECH.COM,看是否連通,如果通即可:
同樣PING一下,看是否能PING通:
b)準備工作做好後,就開始建立外部信任:
首先在APTECH.COM域的DC上開啟"AD域和信任關係"工具,在APTECH.COM域的"屬性"中的"信任"選項卡:
單擊"新建信任":
輸入信任名稱(這裡要注意是你這個域要信任的域):
選擇"單向:外傳":
雙向:本地域信任指定域,同時指定域信任本地域
單向:內傳:指定域信任本地域(換句話說就是,你信任我的關係)
單向:外傳:本地域信任指定域(例如,APTECH.COM域信任BENET.NET域,我信任你的關係)
輸入指定域中有管理許可權的帳戶名稱和密碼:
c)建立完成後,驗證方法可以使用:
在APTECH.COM域的DC上檢視信任關係:
在BENET.NET域的DC上檢視信任關係:
還有一種驗證方法就是被信任域的使用者可以到信任域的計算機上登入,在信任域的計算機上的登入對話方塊中有被信任域名,說明可以輸入被信任域的帳戶登入(前提是要賦予該帳戶登入的許可權):
林之間的信任關係需要手工建立
信任關係不可傳遞
林中的域的信任關係是不可傳遞的
例如,域A直接信任域B,域B直接信任域C,不能得出域A信任域C的結論
信任方向有單向和雙向兩種
單向分為內傳和外傳兩種
內傳指指定域信任本地域
外傳指本地域信任指定域 e)建立好林中的信任關係後可以進行跨域訪問資源 應用AGDLP規則實現跨域訪問
具體規則是:
1)被信任域的帳戶加入到本域的全域性組
2)被信任域的全域性組加入到信任域的本地域組
3)給信任域的本地域組設定許可權 2.建立林信任 外部信任為不同域之間跨域訪問資源提供了方法,但如果兩個林中有許多域,要跨域訪問資源就需要常見很多個外部信任,有沒有簡單方法呢?當然是有的,那就是隻用在林根域之間建立林信任就不需要建立多個外部信任,因為林信任是可傳遞的. 建立林信任與建立外部信任的方法類似,不同的是在建立林信任之前要升級林功能級別為WINDOWS SERVER 2003模式.(解釋一下,在WIN2003中建立的域模式共有三種,NT混合模式,WIN2000本機模式和WIN2003純模式,域模式是用來為了相容老版本作業系統的域控制器,而限制某些新的功能.)這是建立林信任的前提條件.升級林功能級別之前,需要將林中所有域的域功能級別設定為WIN2000模式或WIN2003模式.
a)首先提升域功能級別
b)在提升林級別
c)首先在APTECH.COM域的DC上開啟"AD域和信任關係"工具,在APTECH.COM域的"屬性"中的"信任"選項卡,在信任型別中選擇"林信任":
d)選擇"單向:外傳":
e)選擇"全林性身份驗證",WINS將自動對指定林的所有使用者使用本地林的所有資源進行身份驗證:
f)完成林信任的建立:
g)驗證方法:各自檢視信任關係:
林信任的特點:
1)林功能級別為Windows Server 2003才能建立2)只有在林根域之間才能建立
3)在建立林信任的兩個林中的每個域之間的信任關係是可傳遞的
4)信任方向有單向和雙向兩種