Windows 多域间的访问 信任关系
原创
©著作权归作者所有:来自51CTO博客作者lucky.mu的原创作品,请联系作者获取转载授权,否则将追究法律责任
Windows 多域间的访问
域树:公用连续域名空间的windows域。具有相同的域名后缀。域树的第一个域是域树的根域。单个域构成单个域的树。
向域中添加的任何新域称为子域。由本身的名字和父域域名结合成DNS名。
单个域树或者多个域树构成林。林中不同的域树不共用连续的域名空间。林中的所有域公用相同的配置架构和全局编录。
在林中创建的第一个域为林的根域。存在Enterprise admins 和schema admins 组。
Enterprise admins 企业管理员组成员,可以对活动目录中的整个林做修改。例如添加子域。
Schema admins 架构管理员组成员 , 可对活动目录中整个林做架构修改。
安装活动目录的条件:
1、 拥有本地管理员权限
2、 操作系统版本(WEB版本除外)
3、 本地磁盘至少有一个NTFS分区
4、 TCP/IP设定。(固定IP )
5、 相应的DNS支持
6、 足够的空间
创建子域时,管理权限:Enterprise admins 、domain admins成员。
在一个林中创建多域的原因:
1、 部门(或分公司)之间有不同的安全策略要求,可以针对部门或分公司创建域。
2、 有大量的活动目录对象,可以分解成多个域,使每个域活动目录对象较少。
3、 分散网络管理,而不是有一个域管理员管理,多个域多个域管理员。
4、 对复制进行更多的控制。
域之间建立信任关系
资源域(信任域):资源所在的域。账户域(被信任的域):信任账户所在的域。
林中默认的信任关系:父子信任、树根信任,不可删除的。
信任关系特点:
1、 自动建立。在创建子域或域树时自动建立。
2、 传递信任(可传递的)。A信任B,B信任C,则A信任C。
3、 双向信任。两个域两个方向上的两条信任路径。
林中跨域访问:AGDLP原则
跨域访问的两种方式:
1、 用户试用本域的计算机通过网络方式访问资源。
2、 用户使用资源域的计算机访问资源。
林之间的信任:外部信任、林信任
外部信任:在不同的域之间创建的不可传递的信任。
林信任:windows server 2003林特有的信任。Windows server 2003林根域之间建立的信任,提供单向或双向可传递的信任关系。
信任方向:
双向:本地域信任指定域,同时指定域信任本地域。
单向(外传):本地域信任指定域。
单向(内传):指定域信任本地域。
由于信任关系是在两个域之间建立的,如果域A(本地域)建立一个单向:外传信任,则需要域B(指定域)必须建立一个单向:内传信任。选择“这个域和指定的域”,就会在指定域自动建立一个单向:内传信任。
林间外部信任的特点:
1、 手动建立2、信任关系不可传递 3、信任方向有单向和双向两种。
林信任:
前提条件:林的功能级别设置为:windows server 2003。升级林功能级别之前,需要将林中所有域的域功能级别设置为windows 2000纯模式或windows server 2003模式。
域的功能级别: 支持的域控
Windows 2000混合模式 windows NT4.0 windows2000server windows server 2003
Windows2000本机(纯模式)windows 2000 server windows server 2003 家族
Windows server 2003 模式 windows server 2003 家族
林的功能级别: 支持的域控
Windows 2000 windows NT4.0 windows 2000 windows 2003
Windows 2003 windows server 2003
林信任的特点:
1、 林功能级别为windows server 2003 才能创建
2、 只有在林根域之间才能创建
3、 信任关系可传递
4、 信任关系为单向和双向两种。
下一篇:Cisco交换机的密码恢复
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章