AD活动目录域信任关系图解
创建两个域之间的信任关系
做的时候一定要慢啊,要不然是不会做成功的,因为全局数据库没有创建完整。还有DNS也很重要哦。
创建两个域之间的信任关系:
1。先在DNS里面新建一个标准的辅助区域,里面的域名是填对方的域名,然后填写对方的IP(配置完成后)。配制完成后会出现一个错误,是因为数据没有同步。你再在创建的域上--右键--从主服务器传送(多刷新几次再等等就好了)。
2。在 directory域和信任关系里面的域--属性--信任,现在才开始配置信任关系顺序一定要是1上(A)2下(A)3上(B)4下(B)(你填写的密码是什么,那么一会儿对方也要填写你设置的密码)(A和B分别表示密码)
3。你设置NTFS许可的时候就在安全那里选择其他的域(!!!注意,一定要慢慢做,因为全局目录正在建立数据库,不然你就没有办法设置NTFS权限)一般在开机的时候等15分钟,开了机再等15分钟。。注意啊!!!!
4。2000里面的全局目录很容易坏,但是2000又不知道用活动目录去验证,所以要备份。2003里面做了修改。
域和信任关系
维护活动目录维护活动目录议程:维护活动目录介绍备份活动目录数据库恢复活动目录数据库一、维护活动目录介绍二、备份活动目录数据库1、活动目录数据库备份操作为了避免活动目录数据库失效而引起的错误,因此当活动目录正常工作时,需要对活动目录进行备份。
不能对活动目录单独备份,只能通过备份系统状态对活动目录进行备份。
系统状态组件组件描述活动目录活动目录信息,只存在于DC的系统状态数据中系统启动文件Windows server 2003操作系统启动时使用com+类注册数据库类注册数据库是关于组件服务应用程序的数据库注册表存储了该计算机的配置信息SYSVOL有关组策略模板和日志命令的共享文件夹信息认证服务数据库当Windows server 2003计算机是认证服务器时用来验证用户身份的信息2、备份活动目录数据库时的注意事项注意事项如下:# 须具有备份权限。
默认情况下,管理员组、备份操作员组和服务器操作员组具有备份的权限。
# 活动目录不能单独备份,只能作为系统状态的一部分进行备份,而且只有DC上的系统状态才包括活动目录数据。
# 在DC联机时执行活动目录备份。
3、恢复ad数据库# 修改目录服务还原模式的administrator密码# 执行常规恢复# 执行授权恢复(1)要想恢复活动目录必须重新启动DC,在启动过程中按F8键进入高级选项菜单,然后选择“目录服务还原模式”。
在目录服务还原模式下活动目录是不能被使用的,因此可以对其进行恢复。
(2)修改目录服务还原模式的administrator密码进入目录服务还原模式后,只有administrator帐号才可以登录。
此时需要提供在安装活动目录过程中指定的目录服务还原模式的administrator的密码。
而不是正常登录时的密码。
这个密码如果忘记怎么办?2003平台支持对该密码的修改,在2000中就回天无力了DEMO1:如何修改目录服务还原模式下的密码:三、恢复活动目录的方法1、常规恢复利用常规恢复方式可以把活动目录恢复到备份之前的状态,恢复完成后再与网络中现有的DC执行活动利用常规恢复方式可以把活动目录恢复到备份之前的状态,恢复完成后再与网络中现有的DC执行活动目录的复制,进行数据更新。
第3章_域和活动目录
(9)单击【下一步】按钮,弹出【共享的系统卷】 向导页。在此指定SYSVOL文件夹的位置
(10)单击【下一步】按钮,系统会自动到DNS服 务器中查找是否有相应的DNS区域。 如果在DNS服务器上有相应的DNS区域并已设置了 区域属性允许动态更新,则立即进行安装。 如果没有相应的DNS区域则出现如图3所示的【DNS 注册诊断】向导页。此选择中【在这台计算机上 安装并配置DNS服务器】,并将这台DNS服务器设 为这台计算机的【首选DNS服务器】单选按钮。
(18)单击【立即重新启动】按钮,重新启动后该计算机就
以域控制器的角色出现在网络中。
把计算机加入、退出域
在系统属性中的计算机名选项卡中的计算机名称更改中进行设 置,把计算机进行工作组与域模式之间的切换,使之能够进入 域和推出域。
删除活动目录
在DC上选择【开始】|【程序】|【管理工具】|【管理 您的服务器】菜单中进行删除活动目录,依次根据提示 进行相应操作。
5)在Windows Server 2003典型的域中,计算机类型有: 运行Windows Server 2003的域控制器:每个域控制器 都存储和维护目录的一个副本。 运行Windows Sever 2003的成员服务器:成员服务器是 没有配置成域控制器的服务器。成员服务器不存储目录信 息,并且不能验证用户的身份。成员服务器提供诸如共享 文件夹或打印机的共享资源。 运行Windows Server 2003或其他操作系统的客户机: 客户机运行用户桌面环境,并且允许用户访问域中的资源。
本章作业
一.练习 1.填空题 (1)网络中计算机逻辑组合的两种模式,即_______和 _______模式。 (2)在域的模式下,_______是最小的安全边界, _______是最小的管理边界。 (3)在Active Directory中所有的对象被组织在一个树 状的层叠结构当中,这个树状结构包括有_______、 _______、_______、_______和_______。 (4)在创建新域时,域的类型有三种,它们分别是 _______、_______和_______。 (5)Active Directory共享系统卷默认的共享文件夹的 路径是_______。
域林之间的信任关系
域林之间的信任关系域林之间的信任关系使⽤WIN2003创建的AD(域林)中的各个域之间的信任关系默认就是双向信任可传递的。
那么,如果企业的应⽤中如果出现了两个林或更多的林时,还要进⾏相互的资源访问时,我们该怎么办?因为默认只是同在⼀个域林中才能双向信任可传递,两个域林(AD)间没有这个关系,那么就需要我们⼿动来配置域林之间的信任关系,从⽽来保证不同域林中的资源互访。
⽐如说企业之间的兼并问题,两个公司之前都使⽤的是MS的AD来管理,那么⼤家可想⽽知这两家企业之前肯定是两个域林,那么现在兼并后,如何让这两个域林之间能够建⽴信任关系吗?都有什么⽅法呢?那今天我们就来学习⼀下如何创建域林之间的信任关系! 在⼀个林中林之间的信任分为外部信任和林信任两种:⑴外部信任是指在不同林的域之间创建的不可传递的信任⑵林信任是Windows Server 2003林根域之间建⽴的信任,为任⼀域林内的各个域之间提供⼀种单向或双向的可传递信任关系。
1. 创建外部信任创建外部信任之前需要设置DNS转发器:在两个林的DC之间的DNS服务器各配置转发器:在/doc/b275bb457cd184254b3535ab.html 域中能解析/doc/b275bb457cd184254b3535ab.html ,在/doc/b275bb457cd184254b3535ab.html 域中能解析/doc/b275bb457cd184254b3535ab.html⑴⾸先我们在/doc/b275bb457cd184254b3535ab.html 域的DC上配置DNS服务器设置转发器,把所有/doc/b275bb457cd184254b3535ab.html 域的解析⼯作都转发到192.168.6.6这台机器上:配置后DNS转发后去PING⼀下/doc/b275bb457cd184254b3535ab.html ,看是否连通,如果通即可:192.168.6.1的机器上来:同样PING⼀下/doc/b275bb457cd184254b3535ab.html ,看是否能PING通:⾸先在/doc/b275bb457cd184254b3535ab.html 域的DC上打开"AD域和信任关系"⼯具,在/doc/b275bb457cd184254b3535ab.html 域的"属性"中的"信任"选项卡:单击"新建信任":输⼊信任名称(这⾥要注意是你这个域要信任的域):选择"单向:外传":双向:本地域信任指定域,同时指定域信任本地域单向:内传:指定域信任本地域(换句话说就是,你信任我的关系)单向:外传:本地域信任指定域(例如,/doc/b275bb457cd184254b3535ab.html 域信任/doc/b275bb457cd184254b3535ab.html 域,我信任你的关系)注意:由于信任关系是在两个域之间建⽴的,如果在域A(本地域)建⽴⼀个"单向:外传"信任,则需要在域B(指定域)必须建⽴⼀个"单向:内传"信任.但如果选择了"这个域和指定的域"单选按钮,就会在指定域⾃动建⽴⼀个"单向:内传"的信任!输⼊指定域中有管理权限的⽤户名和密码:⑶创建完成后,验证⽅法可以使⽤:在/doc/b275bb457cd184254b3535ab.html 域的DC 上查看信任关系:在/doc/b275bb457cd184254b3535ab.html 域的DC上查看信任关系:还有⼀种验证⽅法就是被信任域的⽤户可以到信任域的计算机上登录,在信任域的计算机上的登录对话框中有被信任域名,说明可以输⼊被信任域的帐户登录(前提是要赋予该帐户登录的权限):但是否能登录还是要看权限,因为默认情况下是不能登录到DC的,那么在本地域的"域控制器安全策略"中打开"安全策略-"本地策略"-""⽤户权限分配"-"允许在本地登录"中添加被信任域的管理员即可!⑷林之间的外部信任的特点:⼿⼯建⽴林之间的信任关系需要⼿⼯创建信任关系不可传递林中的域的信任关系是不可传递的例如,域A直接信任域B,域B直接信任域C,不能得出域A信任域C的结论信任⽅向有单向和双向两种单向分为内传和外传两种内传指指定域信任本地域外传指本地域信任指定域⑸创建好林中的信任关系后可以进⾏跨域访问资源应⽤AGDLP规则实现跨域访问具体规则是:①被信任域的帐户加⼊到本域的全局组②被信任域的全局组加⼊到信任域的本地域组③给信任域的本地域组设置权限2. 创建林信任外部信任为不同域之间跨域访问资源提供了⽅法,但如果两个林中有许多域,要跨域访问资源就需要常见很多个外部信任,有没有简单⽅法呢?当然是有的,那就是只⽤在林根域之间建⽴林信任就不需要创建多个外部信任,因为林信任是可传递的。
AD_03_发布对象 委派控制 信任关系
选择Active Directory 对象类型 指定权限给用户和组
委派管理控制
尽可能的在OU上分派控制
使用委派控制向导
跟综委派权限的分派
按所在组织的原则控制委派
Lab :委派管理控制
委派管理控制
1、建个OU1 2、建三个帐号,A1,A2,A3 3、分别以A1,A2,A3登录,查看他们有什么权限 3、将在OU1中创建,修改,删除帐号的权限授于A1 4、导向》直接选择就可以 5、将在整个域中修改密码的权限授予A2 6、导向》自定义》只用于这个文件夹》用户对 象》修改密码
比较发布的对象与共享的资源
• 发布到活动目录中的对象与它所代表的共享资源是完 全分离的
• 删除文件夹共享时,发布仍在。
• 发布是两个对象,而共享是一个对象。发布的两个对 象是一个是共享对象,另一个是AD中的发布对象,这个对 象是对共享对象的引用希望访问发布对象时,必须拥有AD 中发布对象和共享对象两者的权限
Users Properties General Name Everyone Administrators (domain_name\Acct... Authenticated User Objects Security Add... Remove
Allow Full Control
Deny
标准权限
共享的资源
namerica
Accounting
Sales
Name Administrators (NWTRADERS….. Authenticated Users Domain Admins (NWTRADERS… Enterprise Admins (NWTRADER… Pre-Windows 2000 Compatible A…
信任关系的建立
信任关系的建立
学习目标
理解信任关系的基本概念 掌握建立信任关系的方法
信任关系的基本概念
信任关系简介
•创建信任关系:是为了实现不同域之间的资源的相互访 问
信任关系的类型
父子信任
树根信任
森林信任
快捷信任
领域信任
外部信任
信任关系的属性
•信任关系可以是双向 的,也可以是单向的。 •信任关系有些是自动 建立的,有些需要手 工建立 •信任关系有些是可传 递的,有些是不可传 递的
建立信任关系
建立信任关系
建立信任关系
此台域控制器的域名:
建立信任关系
此台域控制器的域名:
建立信任关系
总结与思考
• 有时为什么要建立域之间的信任关系? • 如何建立域之间的信任关系?
递,单向还是双向等
建立域之间的信 任关系,需要在2 台域控制器上分 别进行配置
此台域控制器的 域名:
建立信任关系
建立信任关系
此台域控制器的域名:
ቤተ መጻሕፍቲ ባይዱ
建立信任关系
建立信任关系
建立信任关系
建立信任关系
建立信任关系
建立信任关系
在森林内的信任关系如何工作
树的根域
Domain A
Domain B
树二
森林根域
Domain 1
树一
Domain 2
Domain C
信任关系的建立方法
建立信任关系的步骤
注意:建立域之间的信任关系,需要在这2台域控制器上 分别进行配置 • 打开:“开始”——“管理工具”——“活动目录的域和
信任关系”命令 • 在“新建信任向导”中,输入信任的域的域名 • 在“新建信任向导”中,配置信任关系的属性:是否可传
工作组与域管理模式的对比
工作组与域管理模式的对比一、计算机管理模型企业网络中,计算机管理模式有两种:工作组(WorkGroup):默认方式,每台机器自主管理,各自为政,每台机器的地位对等。
域(Domain):或者称AD活动目录(Active Directory)。
●管理思想:“集中管理”。
●域是安全边界的界定,划分一个相互信任的区域,域控制器(以下简称DC)统一集中管理账号、权限、设置等。
二、域的概念域(AD活动目录)是微软各种应用软件运行的必要和基础的条件。
下图表示出活动目录成为各种应用软件的中心。
实际上我们可以把域和工作组联系起来理解,在工作组上一切的设置在本机上进行,包括各种策略,用户登录也是登录在本机的,密码是放在本机的数据库来验证的。
而如果你的计算机加入域的话,各种策略是域控制器统一设定,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一域的任何一台计算机登录。
在工作组模式下,计算机处于一个孤立状态,使用计算机的用户登录帐号和计算机的管理均须在每台计算机上创建或进行。
见下图。
当计算机超过20台以上时,计算机的管理变得越来越困难,并且要为用户创建越来越多的访问网络资源的帐号,用户要记住多个访问不同资源的帐号。
而在域的模式下,用户只需记住一个域帐号,即可登录访问域中的资源。
并且管理员通过组策略,可以轻松配置用户的桌面工作环境和加强计算机安全设置。
域模式下所有的域帐号保存在域控制器的活动目录数据库中。
见下图。
Active Directory 协助中大型组织为用户提供可靠的工作环境,它提供最高层级的可靠性和效能,让使用者得以尽可能有效率地将其工作做好,并提供安全和可管理的环境让 IT 员工可以更容易地工作。
使用AD是因为有许多应用程序和服务之前使用不同的用户名/密码,并由每个应用程序来单独管理。
例如,在Windows中,网络、邮箱、远程访问、业务系统、ERP、CRM都有自己的用户名和密码。
使用 Active Directory之后,组织的系统管理员可以将用户加入 Active Directory域,使用同一目录进行单点登录。
活动目录解决方案
活动目录解决方案篇一:活动目录AD解决方案客户现状:现在客户在各地共有4个办公点。
每个点采用的是独立的域环境。
现在客户希望将分散在各地的办公点连接起来,能够实现各地间的访问与共享。
一、客户方案:通过VPN技术实现网络的互联,并通过林间的信任来实现各地间的互相信任,以达到共享与访问。
客户的方案如下:拓扑图如下:由于客户各地点域已经建立,现在需要做的如下: 1、DNS的转发:作用:处理本地没有应答的DNS查询。
方法:每个域内的DNS服务器都需要做到其他域的DNS 转发,以便于DNS的解析。
2、信任关系的建立作用:为了使不同域可以互相访问。
方法:在每台DC的“Active Directory域和信任关系”中建立到不同域的双向信任关系。
在这里建立A,B的相互信任,B,C的相互信任,C,D的相互信任,A,D的相互信任(一但前三个相互信任形成,则第四个A,D的相互信任自动形成。
) 3、 WINS服务器的安装作用:信任域间可以通过主机名称进行访问。
方法:每个域建立独立的WINS服务器,并与其他域内的WINS服务器建立“推/拉”伙伴关系,实现域间WINS服务器的同步。
各域客户端WINS服务器指向本地服务器。
说明:每个域内的DC可以承担包括AD,DNS, WINS在内的服务以节省资源。
二、单域多站点结构方案拓扑图:方案描述如下:所有站点处于同一个域下,每个站点的子网不相同。
在A站点建立主DC服务器,其他站点分别建立额外DC,如, , 实现方法:1. 子网划分:分配各个站点的子网,要求子网不能够相同,比如A站点/24B站点 /24; C站点/24; D站点/242. 主DC的建立:A站点域控制器集成AD与DNS服务,并且在DNS上做转发,实现对外网的访问。
在A站点建立域内主DC,DNS地址指向本地地址。
3. 额外DC的建立:首先DC 的DNS指向主DC的DNS地址。
在新建DC的时候选择创建“额外域控制器”。
建立完成后修改DNS地址为本机地址,并在DNS服务器上做到主DC服务器地址的转发。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
AD活动目录域信任关系图解
有时候要给学员们讲解AD活动目录域信任关系,所以特地写了这篇文章来说明信任是在域之间建立的关系。
AD活动目录域信任关系就是可以使一个域中的用户由其他域中域控制器进行身份验证。
一个林中的域之间的所有 Active Directory 信任都是双向的、可传递的信任。
如下图所示:域 A 信任域 B,且域 B 信任域 C,则域 C 中的用户可以访问域 A 中的资源(如果这些用户被分配了适当的权限).
只有 Domain Admins 组中的成员才能管理信任关系.
信任协议
域控制器使用两种协议之一对用户和应用程序进行身份验证:Kerberos version 5 (V5) 协议或 NTLM。
Kerberos V5 协议
是 Active Directory 域中的计算机的默认协议。
如果事务中的任何计算机都不支持 Kerberos V5 协议,则使用 NTLM 协议.
信任方向
单向信任: 单向信任是在两个域之间创建的单向身份验证路径。
这表示在域 A 和域 B 之间的单向信任中,域 A 中的用户可以访问域 B 中的资源。
但是域 B 中的用户无法访问域 A 中的资源。
单向信任可以是不可传递信任,也可以是可传递信任,这取决于创建的信任类型。
双向信任: Active Directory 林中的所有域信任都是双向的、可传递的信任。
创建新的子域时,系统将在新的子域和父域之间自动创建双向可传递信任。
在双向信任中,域 A 信任域 B,并且域 B 信任域 A。
这表示可以在两个域之间双向传递身份验证请求。
双向关系可以是不可传递的,也可以是可传递的,这取决于所创建的信任类型。
信任类型
包括外部信任(不可传递)、快捷方式信任(可传递)、领域信任(可传递或不可传递)、林信任(可传递)。
下面以实例讲解配置两个域之间的信任关系。
域A:
域B
要求域A <—> 域B 两个域相互信任,部分用户资源互访。
配置双向信任关系:
登录两台DC中的任一台,这里以登录域A的DC为例:
开始->运行输入 domain.msc,打开活动目录域和信任关系控制台:定位到域名部分,右击”属性”,切换到”信任选项卡”:
【新建信任】,弹出新建信任向导:
可以看到,信任关系有如下几种类型,本域和同林或者异林中的域、本域和NT4.0域、本域和kerberos V5领域、本域和另一个林。
信任名称:这里指键入要建立信任关系的域、林或者领域的名称
信任类型:外部信任和林信任。
这里选择林信任,林信任使得另一个林中的各个域中的用户都可以在本林中可用域控制器汇总得到身份验证。
相对外部信任而言,林信任放开的范围很大,两个林之间。
双向:域A <—->域B 相互信任,可以互访。
单向(内传): 域A <—- 域B,域B为信任域,域A为受信域,A可访问B,B不能访问A。
单向(外传): 域A —->域B,域A为信任域,域B为受信域,B可访问A,A不可访问B。
信任方: 选择”此域和指定的域”
要创建域信任关系,至少是domain admins组的权限;
这里输入在要建立信任关系的对方域或者林中有权限的凭证
新建的信任摘要,可按【上一步】进行更改,检查无误,直接【下一步】
确认”传出”和”传入”信任后,双方的信任关系就创建完成了,不需要再登录另一台DC创建彼此信任了。
回到”属性”切换到”信任”选项卡,发现”外向信任”和”内向信任”中都有了对方林或者域的名称。
登录另一台DC,查看信任关系:
可以看到,信任关系配置完成了,下面进行验证。
验证信任关系及资源互访:
域A的DC上 ADUC中新建用户
域B 的DC上 ADUC中新建用户,如下图:
新建一个共享目录,设置域B的用户example读取权限;
新建共享目录example,包含子文件example.txt,设置域A的用户fengdian读取权限;
1.fengdian用户登录主机,并访问公共区 :
可以看到,可是顺利打开目录及文件。
说明 “域A<—- 域B ” 已没
有问题。
2.example 用户登录主机,并访问 :
也可以正常访问目录及文件。
说明“域 A —-> 域B”已没有问题
经过测试,可以确认域A <—–> 域B 信任关系已经形成。
通常情况下,测试环境和生产环境更多的是单向信任。
这样在创建信任指定信任方向时,只选择单向内传或者单向外传就可以实现了。