大家应该知道,使用WIN2003创建的AD(林)中的各个域之间的信任关系默认就是双向信任可传递的.那么如果企业的应用中如果出现了两个林或更多的林时,还要进行相互的资源访问时,我们该怎么办?因为默认只是同在一个林中才能双向信任可传递,两个林(AD)间没有这个关系,那么就需要我们手动来配置林之间的信任关系,从而来保证不同林中的资源互访.比如说企业之间的兼并问题,两个公司之前都使用的是MS的AD来管理,那么大家可想而知这两家企业之前肯定是两个林,那么现在兼并后,如何让这两个林之间能够建立信任关系吗?都有什么方法呢?那今天我们就来学习一下如何创建林之间的信任关系!
在一个林中林之间的信任分为外部信任和林信任两种
a)外部信任是指在不同林的域之间创建的不可传递的信任
b)林信任是Windows 2003林根域之间建立的信任,是WINDOWS SERVER 2003林根域之间建立的信任,为任一林内的各个域之间提供一种单向或双向的可传递信任关系
1.创建外部信任
创建外部信任之前需要设置DNS转发器:在两个林的DC之间的DNS服务器各配置转发器:
在project域中能解析benet.com.cn
在benet域中能解析project.lcom
a)首先我们在APTECH.COM域的DC上配置DNS服务器设置转发器,把所有BENET.NET域的解析工作都转发到192.168.6.6这台机器上:
配置后DNS转发后去PING一下APTECH.COM,看是否连通,如果通即可:
然后再在另一个域BENET.NET中的DC的DNS服务器也同样设置DNS转发,把APTECH.COM的转发到192.168.6.1的机器上来:
同样PING一下,看是否能PING通:
b)准备工作做好后,就开始创建外部信任:
首先在APTECH.COM域的DC上打开"AD域和信任关系"工具,在APTECH.COM域的"属性"中的"信任"选项卡:
单击"新建信任":
输入信任名称(这里要注意是你这个域要信任的域):
选择"单向:外传":
双向:本地域信任指定域,同时指定域信任本地域
单向:内传:指定域信任本地域(换句话说就是,你信任我的关系)
单向:外传:本地域信任指定域(例如,APTECH.COM域信任BENET.NET域,我信任你的关系)
注意:由于信任关系是在两个域之间建立的,如果在域A(本地域)建立一个"单向:外传"信任,则需要在域B(指定域)必须建立一个"单向:内传"信任.但如果选择了"这个域和指定的域"单选按钮,就会在指定域自动建立一个"单向:内传"的信任!
输入指定域中有管理权限的帐户名称和密码:
c)创建完成后,验证方法可以使用:
在APTECH.COM域的DC上查看信任关系:
在BENET.NET域的DC上查看信任关系:
还有一种验证方法就是被信任域的用户可以到信任域的计算机上登录,在信任域的计算机上的登录对话框中有被信任域名,说明可以输入被信任域的帐户登录(前提是要赋予该帐户登录的权限):
但是否能登录还是要看权限,因为默认情况下是不能登录到DC的,那么在本地域的"域控制器安全策略"中打开"安全策略-"本地策略"-""用户权限分配"-"允许在本地登录"中添加被信任域的管理员即可!
d)林之间的外部信任的特点:
手工建立
         林之间的信任关系需要手工创建
    信任关系不可传递
         林中的域的信任关系是不可传递的
         例如,域A直接信任域B,域B直接信任域C,不能得出域A信任域C的结论
    信任方向有单向和双向两种
         单向分为内传和外传两种
         内传指指定域信任本地域
         外传指本地域信任指定域
e)创建好林中的信任关系后可以进行跨域访问资源
应用AGDLP规则实现跨域访问
具体规则是:
    1)被信任域的帐户加入到本域的全局组
    2)被信任域的全局组加入到信任域的本地域组
    3)给信任域的本地域组设置权限
2.创建林信任
外部信任为不同域之间跨域访问资源提供了方法,但如果两个林中有许多域,要跨域访问资源就需要常见很多个外部信任,有没有简单方法呢?当然是有的,那就是只用在林根域之间建立林信任就不需要创建多个外部信任,因为林信任是可传递的.
创建林信任与创建外部信任的方法类似,不同的是在创建林信任之前要升级林功能级别为WINDOWS SERVER 2003模式.(解释一下,在WIN2003中创建的域模式共有三种,NT混合模式,WIN2000本机模式和WIN2003纯模式,域模式是用来为了兼容老版本操作系统的域控制器,而限制某些新的功能.)这是创建林信任的前提条件.升级林功能级别之前,需要将林中所有域的域功能级别设置为WIN2000模式或WIN2003模式.
a)首先提升域功能级别
b)在提升林级别
c)首先在APTECH.COM域的DC上打开"AD域和信任关系"工具,在APTECH.COM域的"属性"中的"信任"选项卡,在信任类型中选择"林信任":
d)选择"单向:外传":
e)选择"全林性身份验证",WINS将自动对指定林的所有用户使用本地林的所有资源进行身份验证:
f)完成林信任的创建:
g)验证方法:各自查看信任关系:

林信任的特点:
1)林功能级别为Windows Server 2003才能创建
    2)只有在林根域之间才能创建
    3)在建立林信任的两个林中的每个域之间的信任关系是可传递的
    4)信任方向有单向和双向两种

转载于:https://blog.51cto.com/854852312/541915

WINDOWS SERVER 2003从入门到精通之林之间的信任关系相关推荐

  1. WINDOWS SERVER 2003从入门到精通之组策略应用

    目前大部分的公司都去购买MS的OS产品,刚推出不久的VISTA,以及即将面视的WINDOWS SERVER 2008,大家都已习惯了WINS的操作界面,不过在企业当中看中的是MS的AD的应用,而在AD ...

  2. WINDOWS SERVER 2003从入门到精通之配置DHCP服务器(下)

    DHCP的类级别应用: 1.希望在所有的作用域中的操作系统是WINXP的客户端和WIN98的客户端从DHCP得到的配置不一样,如何去实现? a)在所有WINXP客户端去创建类别 b)然后在DHCP服务 ...

  3. WINDOWS SERVER 2003从入门到精通之活动目录数据库的维护

    在一个域中有多个DC时,这些DC的AD数据库必须是一模一样的,这就需要DC之间的自动更新同步来完成(只是要考虑这几台DC的系统时间间隔问题而已).这些DC之间要维护相同的活动目录数据库,可以实现一定的 ...

  4. WINDOWS SERVER 2003从入门到精通之配置DHCP服务器(上)

    DHCP(Dynamic Hoat Configure Protocol)动态主机配置协议简称,首先我们先了解DHCP服务器的作用所在. 当企业计算机数量较多时,例如BENET公司中有300台计算机, ...

  5. WINDOWS SERVER 2003从入门到精通之“域控制器安全策略”打开错误的解决方法

    最近因为许多学员在机房安装完域控制器之后本地安全策略将被域安全策略和域控制器安全策略所取而代之,但是有时候可能当我们对域控制器安全策略或域安全策略进行配置的时候会出现如下的界面,提示如下的错识&quo ...

  6. WINDOWS SERVER 2003从入门到精通之使用证书在WEB服务器上设置SSL(下)

    7.提交证书申请: 使用IE浏览器打开本地WEB站点进入证书申请页面,如下: 选择申请证书 选择"高级证书申请": 在提交一个证书申请中选择后者"BASE64编码的证书申 ...

  7. WINDOWS SERVER 2003从入门到精通之DHCP中继代理

    DHCP租约过程是靠广播发送信息的,就会产生问题,如果给多个网段动态分配IP地址如何规划DHCP服务呢? 是每个网段都配置一台DHCP服务器(由于网段之间的路由器是隔离广播的)呢,还是有别的方法解决? ...

  8. WINDOWS SERVER 2003 DHCP服务器全攻略

    DHCP服务器全攻略 WINDOWS SERVER 2003从入门到精通之配置DHCP服务器 DHCP(Dynamic Hoat Configure Protocol)动态主机配置协议简称,首先我们先 ...

  9. 全面了解Windows Server 2003 和 Windows XP 附带的系统服务

    简介   系统服务的处理不同于其他设置,因为所有服务的漏洞.对策及潜在影响在本质上都一样.第一次安装 Microsoft Windows Server 2003 时,系统将在启动时创建并配置默认服务. ...

最新文章

  1. 百度地图之根据地图上的点确定地图的放缩比例
  2. 用 Go 语言理解 Tensorflow
  3. 【设计模式】原型模式 ( 概念简介 | 使用场景 | 优缺点 | 基本用法 )
  4. Mysql存在则更新,不存在则插入
  5. MTK 修改默认Text-to-speech Patch
  6. 十、Docker快速搭建Elastic Stack(下篇)
  7. Xilinx FPGA PLL 资源与INTEL FPGA PLL资源locked信号的不同
  8. 前端学习(1869)vue之电商管理系统电商系统之配置axios发出登录请求
  9. d3.js(相当于svg的JQ)
  10. 实现Modbus TCP多网段客户端应用
  11. mysql操作json优点和缺点_mysql之使用json
  12. C语言课后习题(64)
  13. mysql中3个月之前日期_在MySQL中从当前日期选择当前日期到3个月之间的日期?
  14. 实体类多层嵌套 遍历_JS获取元素多层嵌套思路详解
  15. Oracle中包的创建
  16. 【先定一个小目标】Asp.net Core 在IIS上的托管运行
  17. linux调度器(四)——主调度器与CFS
  18. c++ socket线程池_Netty(3)——Reactor线程模型
  19. oracle expdp 11,oracle11g使用expdp/impdp备份数据
  20. 计算机画图学生作品小学,电脑绘画作品_需要一件小学生电脑绘画作品

热门文章

  1. TinyFrame开篇:基于CodeFirst的ORM
  2. SpringMVC自学日志02(初识SpringMVC)
  3. vueCli3中使用代理,点击页面的刷新按钮时报错
  4. C# GDI+ 生成自定义进度条
  5. 过河(dp+离散化)
  6. c语言switch scanf语句,c语言switch语句 谢谢·!~!~
  7. 查看一张表都有哪些用户有权限_有赞移动关于权限与审批流程的标准化
  8. php 输出 jsonp
  9. ASP.NET抓取网页内容
  10. 如何妥善处理WebBrowser对Javascript的错误问题,阻止JS弹出框,提高用户体验(原创)...