多域间AGDLP规则的实现
 
实验环境:
        总公司有一台DC1的域控制器,域名为che.com  ,分部也有一台DC2的域控制器,域名叫cong.com  ,并且分部有一个共享资源,共享文件夹名叫 share 。现在总部和分部通过互联网搭建了×××网络,(×××的意思是:通过互联网搭建的一个虚拟专用网络,可以让总公司和分公司通过互联网实现内网访问内网的功能,也就相当于总公司和分公司都是在一个局域网里一样),现在总部希望che.com域里的员工可以访问cong.com域里的share共享文件夹。

问题:怎么实现che.com域的员工访问cong.com域的共享资源呢?
 
解决方案:
总部che.com的域和分部cong.com的域通过×××网络建立外部信任,再使用AGDLP规则实现che.com域的员工可以访问cong.com域里的共享资源。
 
下面我来给大家讲些理论方面的知识:
 
 
域的概念:
所管理的范围边界,是一个或者多个对象的集合,我们可以把域当做是一个容器来理解更合适,域就是承载一个或者对个对象的容器。(域的概念是我自己的理解,可能和书本上的理解会有点出入,但是意思都是一样)
 
域树的概念:
域树是共用连续域名的windows域,所有域名的后缀都是相同的。域树是该域的域树的根。域树是具有层次性的域名关系,单个域构成一个单域的域树。
 
 
林的概念:
我们把单个域叫做域树,我们可以这样来理解,多棵域树就成了森林。林的概念就是多棵域树的集合。
 
 
外部信任:
是指在不同林的域之间创建的不可传递的信任,外部信任的关系需要手动建立,而且信任关系是不可传递的,有单向和双向2种外部信任。
 
林信任:
2个林之间建立的信任关系,林信任的关系是可传递的,意思就是说cong.com的域信任che.com的域的话,那么cong.com的域也会信任che.com域里的子域。
 
小提示:我们为什么不选择林之间的信任呢,而选择外部信任呢?因为外部信任是单向不可传递性的,只有che.com域的员工才可以访问cong.com域的资源,反之cong.com域的员工不可以访问che.com域的共享资源,也就是说只有总部可以访问分部的资源,而分部不能访问总部的资源。(如果要想总部和分部都可以互相访问资源的话可以建立双向的外部信任或者是林信任,具体怎么做可以根据公司的安排,毕竟还是老板说了算。)
 
 
AGDLP的含义:
 
1.把用户加了到全局组
2.把全局组加入到本地域组
3.在给本地域组设置权限
这样就可以实现che.com域的员工可以访问cong.com域的share共享文件夹了
 
 
这篇文章只是希望大家能了解AGDLP规则的含义和域树,外部信任和林信任的概念,以后我们碰到了这样的问题也可以找到解决的方法。
 
下面这个实验环境的拓扑图: