windows server 2003 域間的訪問

1、Page 1/38,第9章內(nèi)容回顧,NLB群集能實現(xiàn)什么功能NLB群集的準備條件有哪些服務器群集能實現(xiàn)什么功能服務器群集的準備條件有哪些,多域間的訪問,第10章,Page 3/38,本章目標,理解信任關(guān)系的概念掌握林和子域的創(chuàng)建掌握信任關(guān)系的創(chuàng)建掌握AGDLP規(guī)則了解林信任的概念,Page 4/38,,本章結(jié)構(gòu),多域間的訪問,,林、域樹和子域,林之間的信任,,,創(chuàng)建外部信任,林、域樹和子域,創(chuàng)建林、域樹和子域,林中信任關(guān)系

2、,跨域訪問資源,,林中跨域訪問,,,,,,,,創(chuàng)建林信任,,,Page 5/38,林、域樹和子域,這3個選項應選擇哪個,Page 6/38,域樹與子域,域樹是共用連續(xù)域名空間的Windows域 向域樹中添加的任何新域都叫做子域,Page 7/38,林,單個域樹或者多個域樹構(gòu)成林林中的不同域樹不共用連續(xù)的域名空間,Page 8/38,林的根域2-1,在林中創(chuàng)建的第一個域叫做林的根域 林的根域存在兩個預定義的組Enterprise

3、AdminsSchema Admins,,,Page 9/38,林的根域2-2,,企業(yè)管理組：可以對活動目錄中整個林作修改，例如添加子域,架構(gòu)管理組：可以對活動目錄中整個林作架構(gòu)修改,Page 10/38,創(chuàng)建林、域樹和子域,安裝DC應具備的條件創(chuàng)建林創(chuàng)建域樹創(chuàng)建子域,Page 11/38,安裝DC應具備的條件,安裝者必須具有本地管理員權(quán)限操作系統(tǒng)版本必須滿足條件本地磁盤至少有一個分區(qū)是NTFS文件系統(tǒng)有TCP/IP設(shè)置（

4、IP地址、子網(wǎng)掩碼等）有相應的DNS服務器支持有足夠的可用空間,Page 12/38,新域的NetBIOS名,數(shù)據(jù)庫和日志文件文件夾,DNS注冊診斷,域兼容性,共享的系統(tǒng)卷,創(chuàng)建林,是否創(chuàng)建新域,新域的DNS全名,還原模式密碼,Page 13/38,創(chuàng)建子域,,創(chuàng)建新域,創(chuàng)建子域,網(wǎng)絡憑據(jù),子域安裝,NetBIOS域名,操作系統(tǒng)兼容性,目錄服務還原模式的管理員密碼,子域安裝完成,Page 14/38,創(chuàng)建林中域樹,創(chuàng)建現(xiàn)有林中的域樹

5、,網(wǎng)絡憑據(jù),新域目錄樹,安裝完成,驗證域樹的安裝,Page 15/38,在一個林中創(chuàng)建多個域的原因,部門（或分公司）之間有不同的密碼要求，可以針對部門（或分公司）創(chuàng)建域有大量的活動目錄對象，可以分解成多個域，使每個域活動目錄對象較少分散的網(wǎng)絡管理，而不是由一個域管理員管理，多個域意味著有多個域管理員 對復制進行更多的控制,Page 16/38,林中的信任關(guān)系2-1,,Page 17/38,林中的信任關(guān)系2-2,,林中的默認信任關(guān)系

6、的特點自動建立林中的域之間的信任關(guān)系是在創(chuàng)建子域或者域樹時自動創(chuàng)建的傳遞信任林中的域的信任關(guān)系是可傳遞的如域A直接信任域B，域B直接信任域C，則域A信任域C雙向信任在兩個域之間有兩個方向上的兩條信任路徑例如，域A信任域B，域B信任域A,Page 18/38,查看信任關(guān)系,,父子信任：在同一個域樹中父域和子域之間,樹根信任：在同一個林中的兩個域樹之間,Page 19/38,林中跨域訪問,,AGDLP規(guī)則的含義1）將用戶賬

7、戶加入全局組2）將全局組加入本地域組3）給本地域組賦權(quán)限本例中實現(xiàn)跨域訪問的具體步驟1）將user1、user2、user3加入到全局組global12）將tsinghuait域的全局組加入到bj域的本地域組local1 3）在share文件夾的【安全】和【共享】屬性中給local1設(shè)置權(quán)限4）user1、user2、user3訪問文件夾share,Page 20/38,階段練習,背景tsinghuait公司的總部組建了

8、一個林的根域，域名為tsinghuait.com.cn北京有個分公司需要創(chuàng)建子域，域名為bj.tsinghuait.com.cn 總部的部分賬戶有權(quán)訪問分公司域中的資源 目標掌握子域的創(chuàng)建掌握AGDLP規(guī)則的跨域應用,Page 21/38,林之間的信任,,林之間的信任分為外部信任和林信任 外部信任是指在不同林的域之間創(chuàng)建的不可傳遞的信任 林信任是Windows 2003林根域之間建立的信任為任一林內(nèi)的各個域之間提供一種單

9、向或雙向的可傳遞信任關(guān)系,Page 22/38,創(chuàng)建外部信任2-1,,,創(chuàng)建外部信任之前需要設(shè)置DNS轉(zhuǎn)發(fā)器在project域中能解析tsinghuait.com.cn在tsinghuait域中能解析project.lcom,Page 23/38,創(chuàng)建外部信任2-2,,,1）右擊project.lcom域名|【屬性】|【信任】,2）信任名稱,3）選擇信任的方向為“單向：外傳”,4）選擇信任方 “這個域和指定的域”,5）鍵入指定的域的

10、有管理權(quán)限的賬戶和密碼,6）創(chuàng)建完畢,7）選擇“是，確認傳入信任”,Page 24/38,驗證信任關(guān)系,,信任類型為外部可傳遞性為否,信任域的登錄對話框,Page 25/38,外部信任的特點,,手工建立林之間的信任關(guān)系需要手工創(chuàng)建信任關(guān)系不可傳遞林中的域的信任關(guān)系是不可傳遞的例如，域A直接信任域B，域B直接信任域C，不能得出域A信任域C的結(jié)論信任方向有單向和雙向兩種單向分為內(nèi)傳和外傳兩種內(nèi)傳指指定域信任本地域外傳指本地

11、域信任指定域,Page 26/38,跨域訪問資源,,應用AGDLP規(guī)則實現(xiàn)跨域訪問具體規(guī)則是1）被信任域的帳戶加入到本域的全局組2）被信任域的全局組加入到信任域的本地域組3）給信任域的本地域組設(shè)置權(quán)限,Page 27/38,創(chuàng)建林信任2-1,,林信任的意義如果兩個林中有許多域，要跨域訪問資源就需要創(chuàng)建很多個外部信任在林根域之間建立林信任就不需要創(chuàng)建多個外部信任，因為林信任是可傳遞的創(chuàng)建林信任與創(chuàng)建外部信任方法類似不同的是

12、需要升級林功能級別為Windows Server 2003,Page 28/38,創(chuàng)建林信任2-2,,提升域功能級別,提升林功能級別,創(chuàng)建林信任,,Page 29/38,林信任的特點,,林功能級別為Windows Server 2003才能創(chuàng)建只有在林根域之間才能創(chuàng)建在建立林信任的兩個林中的每個域之間的信任關(guān)系是可傳遞的信任方向有單向和雙向兩種,Page 30/38,階段練習,背景tsinghuait公司日常辦公使用的域是tsi

13、nghuait.com.cn工程部最近做一個項目，搭建一個域為project.lcom該域存儲項目的工作文檔，存儲在共享文件夾share中，供tsinghuait.com.cn域中的工程部的員工訪問目標理解信任關(guān)系的概念掌握信任關(guān)系的創(chuàng)建掌握利用信任關(guān)系實現(xiàn)跨域訪問,Page 31/38,,本章總結(jié),多域間的訪問,,林、域樹和子域,林之間的信任,,,創(chuàng)建外部信任,林、域樹和子域,創(chuàng)建林、域樹和子域,林中信任關(guān)系,跨域訪問資源