多域和信任关系

多域和信任关系

林、域树和子域•这3 个选项应选择哪个

域树与子域

•域树是共用连续域名空间的Windows 域

•向域树中添加的任何新域都叫做子域

林

•单个域树或者多个域树构成林

•林中的不同域树不共用连续的域名空间

域树

域树林

林的根域

•在林中创建的第一个域叫做林的根域•林的根域存在两个预定义的组

–Enterprise Admins –Schema Admins

企业管理组：可以对活动目录中整个林作修改，例如添加子域

架构管理组：可以对活动目录中整个林作架构修改

创建林、域树和子域

•安装DC 应具备的条件

•创建林

•创建域树

•创建子域

安装DC 应具备的条件

•安装者必须具有本地管理员权限

•操作系统版本必须满足条件

•本地磁盘至少有一个分区是NTFS 文件系统

•有TCP/IP 设置（IP 地址、子网掩码等）

•有相应的DNS 服务器支持

•有足够的可用空间

创建林

创建子域

创建林中域树

在一个林中创建多个域的原因•部门（或分公司）之间有不同的密码要求，可以针对部门（或分公司）创建域

•有大量的活动目录对象，可以分解成多个域，使每个域活动目录对象较少

•分散的网络管理，而不是由一个域管理员管理，多个域意味着有多个域管理员

•对复制进行更多的控制

信任关系的介绍

•信任关系

•信任关系的类型

–父-子信任

–树根信任

–林信任

–外部信任

–快捷方式信任

–领域信任

Unix

域

林A

林B

父-子信任

树根

信任

父-子

信任

林信任

父-子

信任

外部

信任

快捷

方式

信任

领域

信任

信任

帐户域

资源域

访问资源

•林中的默认信任关系的特点

•自动建立

•林中的域之间的信任关系是在创建子域或者域树时自动

创建的

•传递信任

•林中的域的信任关系是可传递的

•如域A 直接信任域B，域B直接信任域C，则域A 信任

域C

•双向信任

•在两个域之间有两个方向上的两条信任路径

•例如，域A 信任域B，域B 信任域A

查看信任关系•树根信任：在同一个林中的两个域树之间父子信任：在同一个域树中父域和子域之间

林中跨域访问

•AGDLP 规则的含义

–1）将用户账户加入全局组

–2）将全局组加入本地域组

–3）给本地域组赋权限

•本例中实现跨域访问的具体步骤

–1）将user1、user2、user3 加入到全局组global1

–2）将abc 域的全局组加入到bj 域的本地域组local1

–3）在share 文件夹的【安全】和【共享】属性中给

local1 设置权限

–4）user1、user2、user3 访问文件夹share

林之间的信任

•林之间的信任分为外部信任和林信任

•外部信任是指在不同林的域之间创建的不可传递的信任•林信任是Windows 2003 林根域之间建立的信任–为任一林内的各个域之间提供一种单向或双向的可传递信任

关系

创建外部信任

•创建外部信任之前需要设置DNS 转发器

–在contoso 域中能解析 –在abc 域中能解析

信任

帐户域资源域

演示：创建外部信任在本次演示中，你将看到如何创建外部信任关系

验证信任关系

信任类型为外部

•可传递性为否

•信任域（资源域）的登录对话框

外部信任的特点

•手工建立

–林之间的信任关系需要手工创建

•信任关系不可传递

–林中的域的信任关系是不可传递的

–例如，域A 直接信任域B，域B 直接信任域C，不能得出

域A 信任域C 的结论

•信任方向有单向和双向两种

–单向分为内传和外传两种

–内传指指定域信任本地域

–外传指本地域信任指定域

跨域访问资源

•应用AGDLP 规则实现跨域访问

•具体规则是

–1）被信任域的帐户加入到本域的全局组

–2）被信任域的全局组加入到信任域的本地域组

–3）给信任域的本地域组设置权限

林信任

•林信任的意义

–如果两个林中有许多域，要跨域访问资源就需要创建很多个外部信任

–在林根域之间建立林信任就不需要创建多个外部信任，因为林信任是可传递的

•创建林信任与创建外部信任方法类似

–不同的是需要升级林功能级别为Windows Server 2003

林信任的特点

•林功能级别为Windows Server 2003 才能创建

•只有在林根域之间才能创建

•在建立林信任的两个林中的每个域之间的信任关系是可传递的，但这种信任关系不会传递到第三个林

•信任方向有单向和双向两种