多域间访问配置详解
------冯刚
实验前多域的相关详解:
1. 域树和子域。
域树是共用连续域名空间的windows域,也就是说在一个域树中,所有域名的后缀都相同。域树的第一个域是该域树的根,
向域树中添加任何新域都称为子域。子域上层的域是父域。子域的域名是由子域本身的名字和父域域名结合而成的DNS名。
2. 林。
单个域树或多个域树构成林。林中不同的域树不共用连续的域名空间。林中所有的域共用相同的配置,架构和全局编录。但不共用相同的域名空间。如“第一个域树的域名为benet.com.cn ,第二个域名为michael.lcom.
3.林的根域。
在林中新建的第一个域称做林的根域(且一个林中只能有唯一的根域),Enterprise Admins和Schema Admins这两个预定义的组,只存在于林中的根域,其他域是没有的。
“Enterprise Admins(企业管理组):可以对活动目录中整个林作更改,例如:添加子域。
“Schema Admins (架构管理组):可以对活动目录中整个林作架构更改。
3. 林中的信任关系。
自动建立:林中的域之间的信任关是在创建子域或者域树时自动产生的。
传递信任:林中的域的信任关系是可传递的。如,域A直接信任域B,域B直接信域C,则域A信任域C。
双向信任:双向信任是指要两个域之间有两个方向上的两条信任路径。如,域A信任域B,域B信任域A。
4. 林中的跨域访问。
林中的域之间就算有了信任关系,但要成功访问资源还必须设置权限。规则为“AGUDLP”
1) 将用户帐户加入全局组。
2) 将全局组入通用组。
3) 将通用组加入本地域组。
4) 给本地域组赋权限。
注意:此策略是用在域环境是2003。2002域环境没有通用组。
5. 林之间的信任。
林之间的信任分为外部信任和林信任。
1) 外部信任:指在不同的林的域之间创建的不可传递的信任。信任特点:
手动建立:林之间的信任关系要手动建立。
信任关系不可传递:林中的域的信任关系是不可传递的。如:域A信任域B,域B直接信域C,不能得出域A信任域C的结论。
信任方向有单向和双向两种:其中单向分为内传和外传两种,内传指指定域信任本地域,外传指本地域信任指定域。
2) 林信任:是Windows Server 2003 林特有的信任,是Windows Server 2003 林根域之间建立的信任,在两个Windows Server 2003林之间创建林信任可为任一林内的各个域之间提供一种单向或双向的可传递的信任关系。
林信任的特点:
林功能级别为Windows server 2003才能创建,
只有在林根域之间才能创建,
在建立林信任的两个林中的每个域之间的信任关系是可传递的。
信任方向有单向和双向两种。
6. 林之间的跨域访问资源规则。
1) 被信任域的帐户加入到本地域的全局组,
2) 被信任域的全局组加入到信任域的本地域组,
3) 给信任域的本地域组设置权限。
7. 林信任的应用和外部信任类似,也可以使用AGDLP规则。
8. 最小的树:只有树根。
最小的林:只有林根,
最小的森林:只有林根,
实验拓朴:
林
实验环境描述:
1) 在一林中分别新建域树”michael.com.cn”和此域树的子域”Bj.michael.com.cn”.
2) 在父域上有3个用户和-个全局组,子域中有本地域组Locall,并有一个共享文件夹michael.通过用“AGDULP规则”,让父域上的用户能够成功地访问子域上的共享文件‘michael”.
实验目的:
1) 掌握父域和子域之间的搭建。
2) 掌握林中跨域访问的设置。
实验前的条件:
1) 安装者必须要有本地管理员权限。
2) 操作系统版本必须满足条件(除WEB版本)。
3) 本地磁盘至少有一个NTFS分区,
4) 有TCP/IP设置。
5) 有相应的DNS SERVER支流持。
6) 有足够的可用空间。
实验步骤:
注意:此次安装林环境中,所有的DC和DNS都安在了同一台计算机上。
1.新建林。(也就是第一台根域树“michael.com.cn”)
2.新建子域“sz.michael.com.cn”
条件:要确定根域“michael.com.cn”在线。要新建的子域的计算机的TCP/IP属性中DNS要指向根域的第一台DC,目的是能解析根域“michael.com.cn”.
3.新建林中的域树“fung.lcom”
林中新建多域的原因:
1) 部门之间有不同的安全要求策略,可以针对部门(或分公司)新建域。
2) 有大量的活动目录,可以分解成多个域,使每个域活动目录对象较少。
3) 分散的网络管理,而不是由一个域管理员管理,多个域意味着有多个域管理员。
4) 对复制进行更多的控制。
4.测试它们之间的信任的关系。
1) 根域“michael.con.cn”上的信任关系。
2)子域“sz.michael.com.cn”上的信任关系。
3)域树“fung.lcom”上的信任关系。
注意:
1) 林中有两个域树,DNS服务器分别在各自的域树中的一台DC上,要使不同域树的计算机都能解析域树的域名,就要在这些DNS SERVER上配置转发器,只有解析出全部域名,才能显示如上的信任关系中所有的域,
2) 关于多域模式对复制的优化做一些简单的了解,域是复制的单位,域中所有的域控制器可以接收更改内容并将这些内容复制到域中所有其它的域控制器中,如果一个活动目录对象很多的域分解成若于了规模小的域可以忧化复制。
3) 林中默认的信任关系类型有:树根信任,在同一个林中的两个域树之间存在,如下图所示
父子信任,在同一个域树中父域和子域之间存在,如上所示:
4.林中跨域访问。
1) 帐户域“michael.com.cn”,资源域“sz.michael.com.cn”,采用“AGUDLP”规则。
2) “michael.com.cn”中建3个用户分别为“aa.bb.cc”和一个全局组”globall”.
3) “sz.michael.com.cn”域中建一个本地域组”locall”,一个共享文件“michael”.
4) 设置权限‘AGUDLP”(windows server 2003域模式下规则)
注意:由于我们现在用的域模式是”windows 2000”模式,因此通用组是不可用的,所以这里我们采用“AGDLP”规则。如下图所示:
Michael.com.cn:
Sz.michael.com.cn:
5.测试能否访问成功.
方法1:用户使用本域的计算机通过网络方式访问:如下图.
方法2:用户使用资源域的计算机访问资源.
反向测试,删除资源域中的本地域组以后,再有方法1进行测试,能否访问资源域上
共享.结果如下所示:
6.测试结果,通过正反两个方面证明了实验成功.
注意:同林中的访问规则是一样的,都是用”AGUDLP”规则.
