Active Directory创建可传递的林信任
active directory的概念
active directory的概念Active Directory(AD)是由微软开发的一种目录服务。
它是用于在网络环境中管理和组织网络资源的一种基于域的层次结构。
AD的概念可以从以下几个方面进行阐述:1. 域的概念:域是AD中最基本的逻辑结构单元,它是一个安全边界,类似于一个边界防火墙。
域可以包含用户、计算机、组织单位等多种对象,并且提供了集中管理和控制这些对象的能力。
2. 目录服务的概念:目录服务是一种描述和组织网络资源的方式,类似于电话号码簿或黄页。
它提供了一种将网络资源分层和分类的方法,使得用户可以更方便地访问和管理这些资源。
3. 组织单位(OU)的概念:OU是AD中的一个组织单位,它用于将不同类型的对象进行逻辑划分和组织。
通过OU,管理员可以根据需要创建各种组织结构,方便地对其内部的对象进行管理和控制。
4. 权限和访问控制的概念:AD提供了强大的权限和访问控制机制,可以对对象进行细粒度的权限控制。
管理员可以通过AD设置访问规则和策略,限制用户对资源的访问权限,确保安全性和合规性。
5. 多域环境的概念:AD支持多域环境,可以在一个AD林(forest)中创建多个域。
不同域之间可以建立信任关系,使得用户或计算机可以跨域访问资源。
接下来,我们来一步一步回答关于AD的一些常见问题。
Q1:什么是域?域是AD中最基本的逻辑单位,相当于一个边界防火墙。
它提供了集中管理和控制网络资源的能力。
域可以包含用户、组织单位、计算机等多种对象。
域之间可以建立信任关系,使得用户可以跨域访问资源。
Q2:什么是目录服务?目录服务是一种描述和组织网络资源的方式,类似于电话号码簿或黄页。
它提供了将资源分层和分类的方法,方便用户访问和管理这些资源。
Q3:什么是组织单位(OU)?组织单位是AD中的一个组织单元,用于将不同类型的对象进行逻辑划分和组织。
通过OU,管理员可以方便地对其内部的对象进行管理和控制。
Q4:AD如何实现权限和访问控制?AD提供了强大的权限和访问控制机制,可以对对象进行细粒度的权限控制。
Active Directory 结构
Active Directory 结构操作系统白皮书摘要要发挥Microsoft® Windows® 2000 Server 操作系统的最大作用,必须首先了解Active Directory™ 目录服务。
Active Directory 是Windows 2000 操作系统的新内容,它在实施组织的网络、进而实现组织的商业目标中占有重要地位。
本文向网络管理员介绍Active Directory,解释其结构,阐述其如何与应用程序及其他目录服务进行交互操作。
本文以Windows 2000 Beta 3 发行时有效的信息为基础。
在Windows 2000 Server 的最终版本发行之前,本文提供的信息可能会随时更改。
简介要想了解Windows 2000 操作系统如何实现其功能,及其对完成企业目标能够提供哪些帮助,就必须先了解Active Directory™ 目录服务。
本文从以下三个方面介绍Active Directory:•存储。
Active Directory,即Windows® 2000 Server 目录服务,可分层存储网络对象的信息,并向管理员、用户和应用程序提供这些信息。
本文首先解释目录服务的概念、Active Directory 服务与Internet 域名系统(DNS) 的集成,以及当您将服务器指定为域控制器1时,Active Directory 是如何实现的。
•结构。
使用Active Directory,可以根据结构组织网络及其对象,这些结构包括域、目录树、目录林、信任关系、部门(OU) 和站点。
本文第二节阐述这些ActiveDirectory 组件的结构和功能,以及管理员采用该体系结构对网络实施管理的方式,从而有助于用户实现其商业目标。
•相互通信。
Active Directory 以标准目录访问协议为基础,因此能够与其他目录服务进行交互操作,并可接受遵守这些协议的第三方应用程序的访问。
简述active directory结构
简述active directory结构
Active Directory(AD)是Windows Server操作系统中的目录服务,用于存储、管理和组织网络对象的信息,例如用户、计算机、打印机和共享文件夹等。
其结构主要包括以下组件:
1. 域:域是AD的基本单位,是一组网络对象的集合,可以将其看作是一个大型的目录数据库。
每个域都有一个域控制器(Domain Controller),负责管理该域的所有活动。
2. 目录树:一个或多个域可以组成一个目录树。
目录树以一个域作为根域,其他域作为子域。
根域控制器管理整个目录树,其他域控制器则管理各自域内的对象。
3. 目录林:一个或多个目录树可以组成一个目录林。
目录林以一个目录树作为根目录树,其他目录树作为子目录树。
根目录树的管理员可以对整个目录林进行管理,而其他目录树的管理员只能管理各自目录树内的对象。
4. 组织单元(OU):组织单元是一种特殊类型的目录对象,用于将用户和计算机等对象组织成逻辑单元。
OU可以用来表示组织结构、地理位置或安全策略等信息。
5. 信任关系:信任关系是AD中不同域之间的一种关系,允许一个域的用户访问另一个域的对象。
例如,当一个用户从外部网络登录到内部网络时,可以通过信任关系进行身份验证和授权。
以上是Active Directory的基本结构,通过这种结构,管理员可以方便地管理网络中的对象,并确保安全性和可靠性。
简述active directory的功能
Active Directory(AD)是Microsoft Windows Server操作系统中的核心组件,它提供了一种集中式的目录服务,用于管理和组织网络中的计算机、用户、组和资源。
以下是Active Directory的主要功能:目录服务:Active Directory作为中央目录服务,允许用户和计算机在网络中轻松找到和访问其他用户、计算机、共享文件夹、打印机和其他网络资源。
这大大简化了网络管理和资源访问。
身份验证和授权:Active Directory提供了一个集中的身份验证机制,使得用户可以登录到任何受信任的计算机,而无需重新输入用户名和密码。
同时,它还提供了基于角色的访问控制(RBAC),使得管理员可以轻松地管理用户的权限和访问级别。
组策略管理:通过Active Directory,管理员可以定义组策略(Group Policy),这是一种强大的管理工具,可以用于配置和管理网络中的计算机和用户。
组策略可以用于配置各种设置,如桌面壁纸、屏幕保护程序、应用程序配置、安全策略等。
安全策略管理:Active Directory还提供了一套完整的安全策略管理机制,包括防火墙规则、安全审计、数据加密等。
管理员可以通过Active Directory来管理和实施这些安全策略,确保网络的安全性。
网络服务管理:Active Directory可以用于管理各种网络服务,如文件共享、打印服务、电子邮件服务、数据库服务等。
管理员可以通过Active Directory来配置和管理这些服务,确保它们的正常运行。
报告和监视:Active Directory还提供了一套完整的报告和监视工具,可以帮助管理员了解网络的使用情况、安全状况、性能等。
这些工具可以帮助管理员及时发现和解决网络问题。
与其他应用的集成:Active Directory可以与其他Windows Server应用和服务无缝集成,如DNS服务、IIS服务、Exchange Server等。
active directory基本概念
active directory基本概念Active Directory(AD)是由Microsoft开发的一种目录服务,用于在网络中管理和组织用户、计算机、打印机等资源。
它提供了一个集中式数据库和认证服务,用于在组织内建立和维护网络中的对象的层次结构。
以下是一些关于Active Directory 的基本概念:1. 目录服务(Directory Service):• Active Directory 是一个目录服务,其主要作用是存储和组织网络中的对象信息,如用户、计算机、打印机等。
这些对象按照层次结构进行组织,形成一个树状的目录。
2. 域(Domain):•在Active Directory中,域是一个逻辑上的组,用于组织和管理网络中的对象。
每个域都有一个唯一的域名,域内的对象可以相互共享资源和认证信息。
3. 林(Forest):•一个林(Forest)是一个包含一个或多个域的集合。
域与域之间可以建立信任关系,形成一个林。
每个林都有一个共享的林根(Forest Root),所有域都共享这个林根。
4. 域控制器(Domain Controller):•域控制器是运行Active Directory服务的服务器。
每个域至少有一个域控制器,它存储了该域的目录信息,并提供认证和授权服务。
5. 组织单位(Organizational Unit,OU):•组织单位是用于组织和管理域内对象的容器。
OU可以包含用户、组、计算机等,并可以在OU内应用特定的策略。
6. 组(Group):•组是一种将用户、计算机等对象集合在一起的方式,以便更轻松地管理这些对象的权限和设置。
7. 用户和计算机账户:• Active Directory存储了用户和计算机的信息,包括登录名、密码、权限等。
用户和计算机账户可以被组织在域内的不同容器中。
8. 域名服务(DNS):• Active Directory使用DNS来命名和定位域控制器。
Active Directory管理和构架-第5部分(域信任关系 、域功能级别、配置AD站点复制)
在林/域中所有域控制器升级时,管理员手动提 升功能级别级别只能提升,不能降低
禁止老式域控制器的加入/启动
考虑Windows 2000纯模式++
可用的功能级别 Windows 2003 Server林功能 Windows 2003 Server过渡林功能 Windows 2003 Server域功能
域功能级别
Domain A Topology Domain A Topology Domain B Topology Schema/Config Topology Schema and Configuration Topology
什么是站点和子网对象?
Active Directory Sites and Services Console Window Help Active View Tree Active Directory Sites and Services Sites Default-First-Site-Name Servers DENVER NTDS Settings Inter-Site Transports Redmond-Site Subnets Name Default-First-Site-Name Inter-Site Transports Redmond-Site Subnets Type Site Inter-Site Transport Container Site Subnets Container
Windows NT中的信任
在Windows NT 4.0及先前的版本中,信任只限于两 个域之间,而且信任关係是单向且不可转移的。在 下图中,不可转移信任及单向信任会由指向信任域 的直线箭头表示。
Win 2003与Win2000服务器的信任
Active Directory--域信任关系
一、实验目的1.在林域中添源自快捷方式信任关系2.在森林中添加外部信任关系
二、实验步骤及结果分析
1.添加快捷方式信任关系
1.1.准备。在林里添加快捷方式信任关系,需至少准备一台根域,两台子域。如根域为“”,子域A为“”,子域B为“”。
1.2.分别在三个域里打开“域信任关系”控制台,可以用运行命令的方式:“domain,msc”。
1.3.新建信任关系。
1.3.1.在子域A或子域B,如:“”本域的域名上右击选择“属性”,在属性中选择“信任”选项卡,点击“新建信任”按钮,打开“新建信任向导”,添加一个快捷方式信任关系。
2.4.测试信任关系。在任一个根域上设置共享文件夹,并赋于最高权限给对方根域。在另一个林的客户端访问此共享。
1.4.测试快捷方式信任关系。在任一子域新建共享文件夹,并赋于最高权限给另一个子域,用另一个子域访问此共享。对比在建立快捷方式信任关系后,访问共享文件夹的速度比之前的快些。
2.添加外部信任关系。
2.1.准备。先搭建两台根域服务器,分别设不同的网段,再建一台路由器服务器,和一台客户端,并将客户端加入任一根域。
1.3.2.在新建信任关系向导里点击下一步,在“信任名称”中填入对方的域名称,如:“”,点击下一步,选择“双向”,再点击下一步选择“这个域和指定的域”。下一步,输入对方域的用户名和密码。再一直下一步,确认传出/传入信任选择“是”。当出现“创建并确认信任关系成功。”提示时,点击完成。一个快捷方式信任关系完成。
2.3.2.将两根域的林功能级别也提升为“windows server2003”,在控制台左侧的域和信任关系上右击选择“提升林功能信任关系”。
2.3.3.新建信任关系。在根域的“域和信任关系”的域名上右击,选择“属性”,在属性中选择“信任选项卡”,点击“新建信任关系”按钮,打开“新建信任关系向导”,下一步,输入另一个根域的完全域名。再点下一步。选择“领域信任”“可传递”“双向”输入“信任密码”,一直下一步,点击完成。
windows实训报告3--active+directory信任创建
Active Directory信任创建
二、实训要求
1、父子信任;
2、树根信任;
3、快捷信任;
4、提升域功能级别和林功能级别;
5、林信任;
6、外部信任;
7、信任的删除。
三、实训步骤
创建了一个主域,子域,域树。
主域
子域
域树
父子信任
树根信任
三,在子域上新建信任--输入别一个域的dns域的名称()--双向信任--只是这个域--输入用户名和密码--是,确认传入信任--完成
快捷信任
四.提升域功能级别和林功能级别
1.分别在子域--域树--域控上提升域的功能级别到Windows Server 2003
Windows Server 2003
五,林信任
1,要分别在第个林域中dns上新建一个转发器,相互指向,新在域控上新建信任,这时新
建信任向导中会多一项(另一个林)
2.输入另一个林的名称,
3.选择林信任
4.双向的
5.只是这个域
6.全林性身份验证
7.信任密码
8.林信任成功
9.成功
六,外部信任
在子域上新建信任--输入别一个林域的dns域的名称()--双向信任--只是这个域--输入用户名和密码--是,确认传入信任--完成
七,信任的删除
打开信任选项卡,删除--是,从本地域和另一个域中删除信任--输入对面的用户
各密码。
除了父子和根域,其余删除一样
四、总结。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Active Directory创建可传递的林信任
在实战详解域信任关系中,我们介绍了如何创在两个域之间创建域信任关系。
实战的结果是我们在和之间成功创建了信任关系,达到了预期目的。
但我们打开域控制器上的Active Directory域和信任工具,可以从下图中发现,和之间的信任关系是不可传递的!这个要引起我们的关注。
如果域之间的信任关系是可以传递的,那我们就可以推论只要A信任B,B 信任C,那么A必然信任C。
但是域信任关系如果是不可传递的,那就会导致A 和C之间没有任何信任关系,必须手工创建A和C之间的信任关系。
显然,在多域的条件下,如果域的数量较多,信任关系的不可传递会给我们带来很多效率
上的麻烦。
例如我们可以计算一下,如果有20个域,每两个域之间都要创建双向信任关系,那我们就至少要创建20*19/2=190次信任关系,这显然也太啰嗦了!
微软对域信任关系的不可传递也给出了相应的解决方法,从Win2000开始,微软推出了域树和域林的概念。
凡是在同一域树内的域,都会自动创建出双向可传递的信任关系。
同一个域林内的域,也会自动创建双向可传递的信任关系。
当微软发布Win2003时,微软又推出了林信任的概念,也就是说可以在两个林之间创建可传递的信任关系,把可传递的信任关系从一个林推广到了多个林。
我们看到这儿时,要回忆一下实战详解域信任关系这篇文章中的拓扑图。
拓扑如下图所示,我们会忽然意识到和就是分别在一个单独的域林内,他们之间是域林间的关系,那我们为什么不能在这两个域之间创建可传递的林信任呢?回忆一下创建信任关系的过程,没有发现可以创建可传递的林信任啊,为什么呢?
其实问题很简单,由于可传递的林信任只有Win2003才可以支持,因此我们必须把林功能级别和域功能级别都提升到Win2003,这样才可以使用可传递的林
信任这个高级特性。
我们在Florence上为大家介绍如何提升域功能级别和林功能级别,在Florence上打开Active Directory域和信任关系,如下图所示,右键点击,选择“提升域功能级别”。
当前的域功能级别是Win2000,我们选择把域功能级别提升到最高的Win2003。
然后右键点击“Active Directory域和信任关系”,选择“提升林功能级别”。
如下图所示,我们选择把林功能级别从Win2000提升到Win2003,这样我们在上就完成了域功能级别和林功能级别的提升,然后我们在firenze上也对进行同样的操作就可以了。
域功能级别和林功能级别提升完毕后,我们在Florence上打开Active Directory 域和信任关系,如下图所示,点击“新建信任”。
输入信任域的名称。
如下图所示,我们看到向导提示是创建外部信任还是林信任,外部信任是不可传递的信任关系,我们要选择创建林信任。
看到这个提示,说明我们之前提升域功能级别和林功能级别成功了。
选择创建双向信任关系。
我们选择同时在两个域控制器上进行信任关系的创建,这样效率更高一些,当然,你必须知道另一个域的管理员口令。
如下图所示,我们输入了的域管理员口令进行身份验证。
我们选择身份验证的范围是“全林性身份验证”。
确认从传出信任关系。
然后从再传入信任关系。
如下图所示,林信任信任关系创建完毕,创建的过程其实并不复杂。
再次打开Active Directory域和信任关系,我们可以发现两个域林之间已经有了双向可创建的信任关系,实验成功!。