欢迎来到天天文库
浏览记录
ID:42084110
大小:1.06 MB
页数:10页
时间:2019-09-07
《配置ActiveDirectory对象和信任》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、配置ActiveDirectory对象和信任一、信任关系基础知识1、信任关系冇什么用?域是安全边界,若无信任关系,域用户帐户只能在本域内使用。信任关系在两个域z间架起了一座桥梁,使得域用户帐号可以跨域使用。确切地说就是:信任关系使一个域的DC可以验证其它域的用户,这种身份验证需要信任路径。2、A域与B域没冇信任关系,A域的用户将不能访问B域上的资源常见的错误理解:A域与B域没有信任关系,A域上的员工(注意:我没有使用“用户”这个词)将不能访问B域上资源。实际上当然是可以访问的,但你必须在双方域控上建立域用户帐号、口令才行(类似于我们访问工作组上的资源,必须
2、捉供目标计算机上的用户帐号、口令才行),捉供本域的任何帐号都不好使。所以这句常见于各种教材的话,应该这样理解:“A域与B域没冇信任关系,A域上的员工使用口己在A域的用户帐号,将不能访问B域上的资源”。3、A域信任B域,信任关系方向表示为:A->Bo这使得B域的员工使用自己在B域的用户帐号可以直接访问A域上的资源(B域的用户帐号必须具冇访问所需的权限),而不会弹出身份验证对话框。访问方向表示为:av_B,我们需要记住的要点:访问方向与信任方向相反。创建域信任关系要注意DNS服务器的设置,因为DNS服务器要负责定位域控制器,关键在于域控制器使用的DNS服务器要
3、能够把两个域的域控制器都定位出來。信任特点:・可传递一一信任关系延伸到双域信任之外,以纳入其他受信任域・信任方向一一信任方向定义账户域和资源域・身份验证协议一一用来建立和维护信任的协议注意:可传递的林信任只冇在windowsserver2003以后的版木才可以支持,因此在创建可传递林信任时必须先将域级别提升至windowsserver2003域功能级别。1.信任方向:有单向利双向两种a.单向分为内传和外传两种i.内传指指定域信任本地域:在上图中如果在B域上实现,就得做单向内传(中箭了~~)ii.外传指本地域信任指定域:在上图中如果在A域上实现,就得做单向外
4、传(箭头朝外)b.双向:指两个域相互信任,就像两个好朋友。2.2003信任的种类:父子信任:可传递、双向。自动建立,不可删除。树根信任:可传递、双向。口动建立,不可删除。快捷信任:可传递,单向或双向林信任:可传递,单向或双向外部信任:不可传递,单向或双向(一般在2003域利NT4域Z间或两个林的任两个域之间)领域信任:不川或町传递,单向或双向(一般在windows域或KerberosV5系统如Unix之间)3.林中的默认信任关系种类及特点父子信任:在同一个域树中父域和子域之间树根信任:在同一个林中的两个域树之间特点:乩默认建立,b.自动建立C.传递信任不可
5、删除,可传递。林中的域之间的信任关系是在创建子域或者域树时口动创建的林中的域的信任关系是可传递的如:域A直接信任域B,域B直接信任域C,则域A信任域Cd.双向信任在两个域之间有两个方向上的两条信任路径如:域A信任域B,域B信任域A4.林间的信任关系:林之间的信任分为外部信任和林信任外部信任是指在不同林的域之间创建的不可传递的信任林信任是Windows2003林根域之间建立的信任为任一林内的各个域之间提供一种单向或双向的可传递信任关系5.林信任的应用场合:如果两个森林耍实现信任的话,只是依靠外部信任则需要在多个域之间创建,只要在两个林根之间创建林信任就可免去
6、多个域之间创建信任的过程,适合于两个企业级森林合并。1.林信任的特点及创建注意事项:a.要在两个林上分别作DNS转发。b.林功能级别为WindowsServer2003才能创建c.只有在林根域Z间才能创建d・在建立林信任的两个林中的每个域之间的信任关系是可传递的e.信任方向有单向和双向两种活动目录安装:子域安装:林中的新域安装:如果希望安装新的DNS选择第二选项:ActiveDirectory安装向导MS注JB诊斷确认DNS支持J或在此计算机上安装DITSo诊断失败二注册诊断已经运行1次。警告:ActiveDirectory的DNS结构未正确配置之前,域控
7、制器功能创]—加入域、登录到域和ActiveDirectory复制)将不可用。此计算机使用的DNS服务器郡没有在超时间隔以内响应。INC我已经更正了错误。再次执行DNS诊斷测试0)。e在这台计算机上安装并配置DNS服务器,并将这台DNS服务器设为这台计算机的首选DNS服务器0C我将在以后通过手动配置DNS来更正这个问题(£人(B级)<上一步©)
8、下一步@)>
9、取消
10、否则,必须配置RGsoft.eclu中的DNS,在该DNS中创建一个主要区域瑾作(A)艇(E)CD(C)软驱(F)帮助(H)■-jRGsoft.edu-MicrosoftVirtualPC200
11、7專文件広)操作@)查看Q*新建区域向导2
此文档下载收益归作者所有