WINDOWS SERVER 2003从入门到精通之林之间的信任关系
大家应该知道,使用WIN2003创建的AD(林)中的各个域之间的信任关系默认就是双向信任可传递的.那么如果企业的应用中如果出现了两个林或更多的林时,还要进行相互的资源访问时,我们该怎么办?因为默认只是同在一个林中才能双向信任可传递,两个林(AD)间没有这个关系,那么就需要我们手动来配置林之间的信任关系,从而来保证不同林中的资源互访.比如说企业之间的兼并问题,两个公司之前都使用的是MS的AD来管理,那么大家可想而知这两家企业之前肯定是两个林,那么现在兼并后,如何让这两个林之间能够建立信任关系吗?都有什么方法呢?那今天我们就来学习一下如何创建林之间的信任关系!
在一个林中林之间的信任分为外部信任和林信任两种
a)外部信任是指在不同林的域之间创建的不可传递的信任
b)林信任是Windows 2003林根域之间建立的信任,是WINDOWS SERVER 2003林根域之间建立的信任,为任一林内的各个域之间提供一种单向或双向的可传递信任关系
b)林信任是Windows 2003林根域之间建立的信任,是WINDOWS SERVER 2003林根域之间建立的信任,为任一林内的各个域之间提供一种单向或双向的可传递信任关系
1.创建外部信任
创建外部信任之前需要设置DNS转发器:在两个林的DC之间的DNS服务器各配置转发器:
在project域中能解析benet.com.cn
在benet域中能解析project.lcom
在project域中能解析benet.com.cn
在benet域中能解析project.lcom
a)首先我们在APTECH.COM域的DC上配置DNS服务器设置转发器,把所有BENET.NET域的解析工作都转发到192.168.6.6这台机器上:
配置后DNS转发后去PING一下APTECH.COM,看是否连通,如果通即可:
然后再在另一个域BENET.NET中的DC的DNS服务器也同样设置DNS转发,把APTECH.COM的转发到192.168.6.1的机器上来:
同样PING一下,看是否能PING通:
b)准备工作做好后,就开始创建外部信任:
首先在APTECH.COM域的DC上打开"AD域和信任关系"工具,在APTECH.COM域的"属性"中的"信任"选项卡:
单击"新建信任":
输入信任名称(这里要注意是你这个域要信任的域):
选择"单向:外传":
双向:本地域信任指定域,同时指定域信任本地域
单向:内传:指定域信任本地域(换句话说就是,你信任我的关系)
单向:外传:本地域信任指定域(例如,APTECH.COM域信任BENET.NET域,我信任你的关系)
注意:由于信任关系是在两个域之间建立的,如果在域A(本地域)建立一个"单向:外传"信任,则需要在域B(指定域)必须建立一个"单向:内传"信任.但如果选择了"这个域和指定的域"单选按钮,就会在指定域自动建立一个"单向:内传"的信任!
输入指定域中有管理权限的帐户名称和密码:
c)创建完成后,验证方法可以使用:
在APTECH.COM域的DC上查看信任关系:
在BENET.NET域的DC上查看信任关系:
还有一种验证方法就是被信任域的用户可以到信任域的计算机上登录,在信任域的计算机上的登录对话框中有被信任域名,说明可以输入被信任域的帐户登录(前提是要赋予该帐户登录的权限):
但是否能登录还是要看权限,因为默认情况下是不能登录到DC的,那么在本地域的"域控制器安全策略"中打开"安全策略-"本地策略"-""用户权限分配"-"允许在本地登录"中添加被信任域的管理员即可!
d)林之间的外部信任的特点:
手工建立
林之间的信任关系需要手工创建
信任关系不可传递
林中的域的信任关系是不可传递的
例如,域A直接信任域B,域B直接信任域C,不能得出域A信任域C的结论
信任方向有单向和双向两种
单向分为内传和外传两种
内传指指定域信任本地域
外传指本地域信任指定域
林之间的信任关系需要手工创建
信任关系不可传递
林中的域的信任关系是不可传递的
例如,域A直接信任域B,域B直接信任域C,不能得出域A信任域C的结论
信任方向有单向和双向两种
单向分为内传和外传两种
内传指指定域信任本地域
外传指本地域信任指定域
e)创建好林中的信任关系后可以进行跨域访问资源
应用AGDLP规则实现跨域访问
具体规则是:
1)被信任域的帐户加入到本域的全局组
2)被信任域的全局组加入到信任域的本地域组
3)给信任域的本地域组设置权限
具体规则是:
1)被信任域的帐户加入到本域的全局组
2)被信任域的全局组加入到信任域的本地域组
3)给信任域的本地域组设置权限
2.创建林信任
外部信任为不同域之间跨域访问资源提供了方法,但如果两个林中有许多域,要跨域访问资源就需要常见很多个外部信任,有没有简单方法呢?当然是有的,那就是只用在林根域之间建立林信任就不需要创建多个外部信任,因为林信任是可传递的.
创建林信任与创建外部信任的方法类似,不同的是在创建林信任之前要升级林功能级别为WINDOWS SERVER 2003模式.(解释一下,在WIN2003中创建的域模式共有三种,NT混合模式,WIN2000本机模式和WIN2003纯模式,域模式是用来为了兼容老版本操作系统的域控制器,而限制某些新的功能.)这是创建林信任的前提条件.升级林功能级别之前,需要将林中所有域的域功能级别设置为WIN2000模式或WIN2003模式.
a)首先提升域功能级别
b)在提升林级别
c)首先在APTECH.COM域的DC上打开"AD域和信任关系"工具,在APTECH.COM域的"属性"中的"信任"选项卡,在信任类型中选择"林信任":
d)选择"单向:外传":
e)选择"全林性身份验证",WINS将自动对指定林的所有用户使用本地林的所有资源进行身份验证:
f)完成林信任的创建:
g)验证方法:各自查看信任关系:
林信任的特点:
1)林功能级别为Windows Server 2003才能创建
2)只有在林根域之间才能创建
3)在建立林信任的两个林中的每个域之间的信任关系是可传递的
4)信任方向有单向和双向两种
2)只有在林根域之间才能创建
3)在建立林信任的两个林中的每个域之间的信任关系是可传递的
4)信任方向有单向和双向两种
转载于:https://blog.51cto.com/854852312/541915