域林之间的信任关系文档格式.docx
- 文档编号:19406935
- 上传时间:2023-01-06
- 格式:DOCX
- 页数:16
- 大小:3.08MB
域林之间的信任关系文档格式.docx
《域林之间的信任关系文档格式.docx》由会员分享,可在线阅读,更多相关《域林之间的信任关系文档格式.docx(16页珍藏版)》请在冰豆网上搜索。
1.创建外部信任
创建外部信任之前需要设置DNS转发器:
在两个林的DC之间的DNS服务器各配置转发器:
在域中能解析,在域中能解析
⑴首先我们在域的DC上配置DNS服务器设置转发器,把所有域的解析工作都转发到192.168.6.6这台机器上:
配置后DNS转发后去PING一下,看是否连通,如果通即可:
然后再在另一个域中的DC的DNS服务器也同样设置DNS转发,把的转发到192.168.6.1的机器上来:
同样PING一下,看是否能PING通:
⑵准备工作做好后,就开始创建外部信任:
首先在域的DC上打开"
AD域和信任关系"
工具,在域的"
属性"
中的"
信任"
选项卡:
单击"
新建信任"
:
输入信任名称(这里要注意是你这个域要信任的域):
选择"
单向:
外传"
双向:
本地域信任指定域,同时指定域信任本地域
内传:
指定域信任本地域(换句话说就是,你信任我的关系)
外传:
本地域信任指定域(例如,域信任域,我信任你的关系)
注意:
由于信任关系是在两个域之间建立的,如果在域A(本地域)建立一个"
信任,则需要在域B(指定域)必须建立一个"
内传"
信任.但如果选择了"
这个域和指定的域"
单选按钮,就会在指定域自动建立一个"
的信任!
输入指定域中有管理权限的用户名和密码:
⑶创建完成后,验证方法可以使用:
在域的DC上查看信任关系:
还有一种验证方法就是被信任域的用户可以到信任域的计算机上登录,在信任域的计算机上的登录对话框中有被信任域名,说明可以输入被信任域的帐户登录(前提是要赋予该帐户登录的权限):
但是否能登录还是要看权限,因为默认情况下是不能登录到DC的,那么在本地域的"
域控制器安全策略"
中打开"
安全策略-"
本地策略"
-"
"
用户权限分配"
允许在本地登录"
中添加被信任域的管理员即可!
⑷林之间的外部信任的特点:
手工建立
林之间的信任关系需要手工创建
信任关系不可传递
林中的域的信任关系是不可传递的
例如,域A直接信任域B,域B直接信任域C,不能得出域A信任域C的结论
信任方向有单向和双向两种
单向分为内传和外传两种
内传指指定域信任本地域
外传指本地域信任指定域
⑸创建好林中的信任关系后可以进行跨域访问资源
应用AGDLP规则实现跨域访问
具体规则是:
①被信任域的帐户加入到本域的全局组
②被信任域的全局组加入到信任域的本地域组
③给信任域的本地域组设置权限
2.创建林信任
外部信任为不同域之间跨域访问资源提供了方法,但如果两个林中有许多域,要跨域访问资源就需要常见很多个外部信任,有没有简单方法呢?
当然是有的,那就是只用在林根域之间建立林信任就不需要创建多个外部信任,因为林信任是可传递的。
创建林信任与创建外部信任的方法类似,不同的是在创建林信任之前要升级林功能级别为WindowsServer2003模式。
(解释一下,在WIN2003中创建的域模式共有三种,NT混合模式,WIN2000本机模式和WIN2003纯模式,域模式是用来为了兼容老版本操作系统的域控制器,而限制某些新的功能。
)这是创建林信任的前提条件。
升级林功能级别之前,需要将林中所有域的域功能级别设置为WIN2000模式或WIN2003模式。
⑴首先提升域功能级别
⑵在提升林级别
⑶首先在域的DC上打开"
选项卡,在信任类型中选择"
林信任"
⑷选择"
⑸选择"
全林性身份验证"
,WINS将自动对指定林的所有用户使用本地林的所有资源进行身份验证:
⑹完成林信任的创建
⑺验证方法:
各自查看信任关系:
林信任的特点:
①林功能级别为WindowsServer2003才能创建
②只有在林根域之间才能创建
③在建立林信任的两个林中的每个域之间的信任关系是可传递的
④信任方向有单向和双向两种
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 之间 信任 关系