多域间的概念

当一个林中存在多个域，域和域之间要访问，我们就称为多域之间的访问，一个林中可能存在以下的域：

名称	作用
子域	继续向任何一个域中添加域控制器叫做子域（子域的后缀名和父域相同）
域树	由一个或者多个具有连续名称的子域组成（父域为baidu.com,子域a.baidu.com,b.baidu.com 那么这两个子域就是baidu.com的树域）
域林	由一个或者多个不具有连续名称的域树组成，但是域树和域树之间还是存在连续（如域树baidu.com 和域树 uu.com 就是两个名称不同的域树，这样就构成了域林）DNS需指向第一个在林中创建的DC

三者的创建方法如下

测试环境

主机	IP地址
DC1 （a.com）	192.168.1.10
DC2 （b.com）	192.168.1.20
客户端（属于 a.com）	192.168.1.50

环境搭建

DC1的搭建（a.com）
搭建展示如下一张截图即可，省略部分截图

DC2的搭建（b.com）
注意，这一台的DNS要指向DC1,否则这里验证不成功

客户端加入a.com域
DNS需指向DC1

林中域之间的信任
默认状态下，只要创建了子域以及树域，都会自动创建信任关系，信任是域以及林之间建立关系的首要条件，如果没有信任关系，那么域和域之间是不能够进行访问的，因为我们这里创建的是域树，所有信任类型为树根信任，还有父子信任等
单向信任不可传递
双向信任可传递
如：A信任B，B信任C，针对于单向信任，那么不能够得出A信任C。针对于双向信任，可以得出A信任C

以上就是本次实验所需的测试环境，记得拍摄快照

跨域访问共享文件夹实验

实验要求

1.在b.com 域控上创建一个共享文件夹（需提前将共享文件夹的user权限去掉，防止其他用户通过IP地址就能够访问到该共享文件夹）
2.然后使用AGDLP规则让Windows 7 客户端能够访问到该共享文件夹

搭建过程如下

DNS转发器的配置（DC1，DC2都需要执行操作一致）
注意：DC2的DNS域要写为a.com IP地址为192.168.1.10

在b.com域控上新建共享文件夹（DC2执行即可）
注意：这里需要将user的权限去掉，否则其他用户可以通过输入IP地址访问到该文件夹，这样我们的这个实验就没有效果了

AGDLP规则创建

AGDLP规则概述：
1.将A用户加入到全局组G当中
2.将全局组G加入到本地域组DL中
3.将本地域组DL赋予权限P用户和全局组在访问端创建，本地域组和权限在被访问端创建

创建用户usera（用于访问共享文件夹的用户）

创建全局组（a.com上进行）

将用户usera加入到该全局组里面（a.com 上进行）

创建本地域组（b.com上进行）

然后将a.com上的全局组加入到b.com上本地域组即可（在b.com上进行）

给共享文件夹赋予权限

Windows 7 客户端使用usera用户登录测试

访问测试

注意，可以访问的用户只能够是a.com上属于全局组里面的用户才能够访问，不是全局组里面的用户，都不能够进行访问

补充：只要两个域之间建立了信任关系，那么计算在哪一个域上创建用户，都可以实现跨域登录

跨林访问共享文件夹实验

上面那个实验是在林中进行的，是域和域之间的访问，接下来的实验我们是在林和林之间进行访问

林之间的信任关系

外部信任（不可传递）的分类：
单向：单向内传和单向外传（只能够一边传）
双向：两边都可以互传
不可传递：比如：A信任B，B信任C,那么不能够得出A信任C林信任（可传递）
单向：单向内传和单向外传（只能够一边传）
双向：两边都可以互传
可传递：比如：A信任B，B信任C,那么能够得出A信任C单向内传：在访问端进行（访问共享文件夹端）
单向外传：在被访问端进行（设置共享文件夹端）
双向传递可以在任何一台DC上进行配置

测试环境

测试环境，我们基于上面的来，a.com 和 Windows 7 恢复快照，然后我们重新创建一个b.com

DC2 （b.com）
DNS无需指向DC1了，指向本地即可，然后我们这里选择添加新林

实验要求

a.com域中的windows 7能够访问b.com上的共享文件夹，两个林之间创建外部信任关系，只允许a.com域中的主机访问b.com ，不允许b.com访问a.com

DNS转发的设置（DC1 DC2 都要执行操作一致）

然后在uu.com上创建共享文件夹
这里一样去掉user的权限

建立信任关系（在 b.com上进行）
默认状态下，两个林之间是没有任何信任关系的

点击下一步
这里输入a.com域的名称

点击下一步
这里选择外部信任

这里选择单向外传（因为我们在b.com上设置的，如果在a.com上设置就需要设置为单向内传）

我们这里选择第二个选项：
只是这个域：如果选择了这个，那这一台创建完成以后，我们还需要对方上在来执行一遍这个操作
选择此域和指定域：如果选择了这个，那么代表这里创建了之后，对方就会自动创建，我们就不需要去对方在执行一遍上面的操作了

输入a.com管理员密码进行验证

然后默认点下去即可，创建完成以后就是如下的样子了

在a.com上查看

AGDLP规则的创建

在a.com上创建用户userb以及全局组

创建全局组

然后将用户userb 加入到该全局组里面去即可

在b.com上创建本地域组以及赋予共享文件权限

然后将a.com上的全局组加入到b.com上的本地域组里面
我们在查找的时候，需要输入对方管理员密码进行验证

添加完成以后是这样的

然后将共享文件夹的权限赋予本地域组

Windows 7 客户端访问测试

整个实验搭建完成，效果达到

Windows Server 2016 实现跨域、跨林之间的访问相关推荐

windows server 2016 搭建AD域服务
环境:两台 windows server 2016 两台虚拟机基础配置: 服务端: 客户端: 两台虚拟机关闭防火墙两台虚拟机相互ping通服务端和客户端都需要安装AD域服务服务端: ...
在Windows server 2016上创建域控制器，使客户机加入域环境
一.server 2016部署AD域服务,成为域控制器注意满足成为域的条件本地权限管理操作系统版本必须满足条件 NTFS分区静态IP地址有足够的可用磁盘空间 6.管理员密码不能为空 1.事先 ...
WINDOWS SERVER 2003从入门到精通之林之间的信任关系
大家应该知道,使用WIN2003创建的AD(林)中的各个域之间的信任关系默认就是双向信任可传递的.那么如果企业的应用中如果出现了两个林或更多的林时,还要进行相互的资源访问时,我们该怎么办?因为默认只是 ...
Windows Server 2016中添加AD域控制器
Windows Server 2016中添加AD域控制器查看全文 http://www.taodudu.cc/news/show-6623633.html 相关文章: ABB机械手RobotStud ...
通过安装和配置AD域解决Windows Server 2016的IIS无法加载SMB文件卷文件的问题
通过安装和配置AD域解决Windows Server 2016的IIS无法加载SMB文件卷文件的问题 1. 问题描述通过客户反馈我们发现Windows Server 2016的IIS无法加载SMB文 ...
ad域管理与维护_详解Windows Server 2016如何搭建AD服务器(图文教程)
概述今天主要分享怎么在Windows Server 2016服务器上去搭建AD服务器,先介绍下相关概念. 相关概念 1.AD 域服务什么是目录(directory)呢? 日常生活中使用的电话薄内记 ...
windows server 2016 活动目录部署系列（二）创建域控制器（AD DS）
一.准备内容 ①安装Windows Server 2016系统在VMware WorkStation中安装Windows Server 2016https://coffeemilk.blog.csd ...
2016域控服务器迁移,Windows Server 2016 AD 域控制器迁移到 Windows Server 2019
Windows Server 2019 也出来一段时间了,先前搭建的Windows Server 2016域控制器测试环境也不能浪费,顺便体验下Windows Server 2019,本文记录了Win ...
windows server 2016搭建域控
准备工作 Windows server 2016 系统一台: Windows 10 专业版系统一台: 开始搭建添加角色和功能直接下一步基于角色的安装,并下一步: 如图,下一步选择域服务, 在弹 ...
【系统篇 / 域】❀ 06. Windows10 加入域 ❀ Windows Server 2016
[简介]众所周知,Windows Server 2016 与其它版本不同的地方就是支持 Windows10 加入域服务了. 修改 DNS Windows10 加入域之前,需要把网卡的DNS指向域服 ...

Windows Server 2016 实现跨域、跨林之间的访问

多域间的概念

测试环境

环境搭建

跨域访问共享文件夹实验

跨林访问共享文件夹实验

林之间的信任关系

测试环境

AGDLP规则的创建

Windows Server 2016 实现跨域、跨林之间的访问相关推荐

最新文章

热门文章