首先做個廣告,一般搞技術的人追求的是技術,根本不在乎技能證書和學歷證書,但在現實工作中卻需要,我這爲技術男提供理真實網上可查的學歷證書,包括計算機等級證書等。詳細諮詢Q 83992088
AGDLP意思是A(賬戶)加入G(全局組),再加到對方域的DL(域本地組),分配P(權限)。
實驗目的:用AGDLP來實現訪問其它域的共享文件。
試驗準備:
新建一個分組,放三個虛擬機a,b,xp,其中a,b是windows 2003,在b機中設置雙網卡。一個爲10網段,一個爲192網段。xp也是雙網卡,一塊網卡連接b,一塊連接a。
分別設置三臺機的密碼爲suntong_258,後面試驗用的的密碼均設置爲該密碼。
拓撲圖:
![clip_image002[6]](http://suntong258.blog.51cto.com/attachment/201102/6/201995_1297009916p4lZ.jpg "clip_image002[6]")
虛擬機下虛擬網卡的設置如下:
![clip_image004[5]](http://suntong258.blog.51cto.com/attachment/201102/6/201995_1297009918dnlG.jpg "clip_image004[5]")
拓撲說明:把所有網卡放在局域網1中,b電腦和xp設置雙網卡,設置好相應的IP後,三臺電腦應該能互相ping通的。其實也可以不設置雙網卡,而是給一塊網卡配置2個IP地址,效果一樣。本實驗採用雙網卡做。另外,如果實驗拓撲圖如下的話,默認情況下即使不配置權限,xp也是ping不通a電腦的,在測試時需要在b上設置NAT。
![clip_image005[4]](http://suntong258.blog.51cto.com/attachment/201102/6/201995_1297009920JI3i.jpg "clip_image005[4]")
注意:在配置IP的時候需要將b機的192網段的DNS不填,只填寫10網段的
![clip_image007[4]](http://suntong258.blog.51cto.com/attachment/201102/6/201995_1297009922BtyB.jpg "clip_image007[4]")
![clip_image009[4]](http://suntong258.blog.51cto.com/attachment/201102/6/201995_1297009924Vtdr.jpg "clip_image009[4]")
而XP中則10網段的DNS需要填寫,192網段的不填,否則會出現DNS錯誤等提示。
實驗目的:利用AGDLP規則使niit.com下的用戶能訪問benet.com下的共享文件。
步驟1:拓撲圖設置好計算機名,IP地址,dns地址,分別提升2臺2003的電腦爲域控(在不同的林中),把xp加入域niit.com。
步驟2:在benet.com下建立OU取名benet,在裏面建立域本地組DL。
![clip_image011[4]](http://suntong258.blog.51cto.com/attachment/201102/6/201995_1297009926tQNd.jpg "clip_image011[4]")
步驟3:在niit.com下建立G組及用戶c
![clip_image013[4]](http://suntong258.blog.51cto.com/attachment/201102/6/201995_1297009929Rp62.jpg "clip_image013[4]")
步驟4:把用戶c加入全局組G,即實現了AG。
![clip_image015[4]](http://suntong258.blog.51cto.com/attachment/201102/6/201995_1297009931nuMj.jpg "clip_image015[4]")
步驟5:分配P(權限),先在benet.com上建立文件夾share並共享,爲了驗證結果在share中新建個文本文件st,併爲DL組賦予訪問權,實現了DLP。
![clip_image017[4]](http://suntong258.blog.51cto.com/attachment/201102/6/201995_1297009933l13P.jpg "clip_image017[4]")
AG說了,DLP也說了,還有最重要的一步,就是把niit上的全局組G加入到bennet上的域本地組DL,這也是最重要的一步,要在一個域里加入其它域裏的對象。那麼域之間必須存在信任關係。建立信任關係的前提是能相互解釋,那麼在DNS上必須設置轉發器。
步驟6:分別在A,B上是指DNS轉發器。
Benet域下的DNS轉發器地址填B電腦同網段的IP地址
![clip_image019[4]](http://suntong258.blog.51cto.com/attachment/201102/6/201995_1297009935GqP2.jpg "clip_image019[4]")
Niit域下的DNS轉發器地址填電腦A的IP地址
![clip_image021[4]](http://suntong258.blog.51cto.com/attachment/201102/6/201995_1297009937CUQf.jpg "clip_image021[4]")
步驟7:分別在2臺電腦上提升域和林的功能級別。以實現2003上更多的功能。下面以提升benet.com爲例,首先打開AD域和信任關係,右擊benet.com選擇“提升域功能級別”,選擇級別爲“windows server2003”。如下圖所示。
![clip_image023[4]](http://suntong258.blog.51cto.com/attachment/201102/6/201995_1297009940uTIL.jpg "clip_image023[4]")
接下來提升林功能級別。右擊“AD域和信任關係”選擇“提升林功能級別”,選擇林功能級別爲“windows server 2003”。
![clip_image025[4]](http://suntong258.blog.51cto.com/attachment/201102/6/201995_1297009941b8PE.jpg "clip_image025[4]")
![clip_image027[4]](http://suntong258.blog.51cto.com/attachment/201102/6/201995_1297009942M1G9.jpg "clip_image027[4]")
步驟8:建立信任關係。這裏以benet.com爲例做信任關係。
![clip_image029[4]](http://suntong258.blog.51cto.com/attachment/201102/6/201995_12970099432aHX.jpg "clip_image029[4]")
![clip_image031[4]](http://suntong258.blog.51cto.com/attachment/201102/6/201995_1297009945NH79.jpg "clip_image031[4]")
![clip_image033[4]](http://suntong258.blog.51cto.com/attachment/201102/6/201995_12970099467Cog.jpg "clip_image033[4]")
![clip_image035[4]](http://suntong258.blog.51cto.com/attachment/201102/6/201995_1297009947OUm5.jpg "clip_image035[4]")
![clip_image037[4]](http://suntong258.blog.51cto.com/attachment/201102/6/201995_1297009949QO9A.jpg "clip_image037[4]")
![clip_image039[4]](http://suntong258.blog.51cto.com/attachment/201102/6/201995_1297009950x0JB.jpg "clip_image039[4]")
![clip_image041[4]](http://suntong258.blog.51cto.com/attachment/201102/6/201995_1297009951Qtyi.jpg "clip_image041[4]")
![clip_image043[4]](http://suntong258.blog.51cto.com/attachment/201102/6/201995_1297009952ovZ3.jpg "clip_image043[4]")
同樣的方式在niit.com上做信任關係。(省略)
步驟9:手工驗證信任關係。(在兩個域中都要通過驗證)
![clip_image045[4]](http://suntong258.blog.51cto.com/attachment/201102/6/201995_1297009956At6P.jpg "clip_image045[4]")
![clip_image047[4]](http://suntong258.blog.51cto.com/attachment/201102/6/201995_12970099587ZzX.jpg "clip_image047[4]")
在上圖中選擇“屬性”,然後點擊“驗證”,輸入用戶名和密碼,可看到“該信任已經過驗證……”
步驟10:把niit.com的全局組G加到benet.com的域本地組DL,實現AGDLP。
首先打開電腦a中的DL屬性→成員,把查找位置修改爲niit.com,如果看不到niit.com,可以重啓下電腦。在輸入對象名稱來選擇框中,手工輸入“G”,單擊確定。
![clip_image049[4]](http://suntong258.blog.51cto.com/attachment/201102/6/201995_1297009960Yos7.jpg "clip_image049[4]")
![clip_image051[4]](http://suntong258.blog.51cto.com/attachment/201102/6/201995_1297009962nk9y.jpg "clip_image051[4]")
步驟10:驗證。
在xp這臺機上用在niit.com上建立的用戶c登錄到niit.com域中然後在去訪問a機中的共享文件。
![clip_image053[4]](http://suntong258.blog.51cto.com/attachment/201102/6/201995_1297009965PPrR.jpg "clip_image053[4]")
【注意點】:
上面實驗可不需要提升域/林功能級別,我習慣性的多此一舉。
外部信任:是指在不同林的域之間創建的不可傳遞的信任。
林信任:外部信任爲不同域間跨域訪問提供了方法,可兩個林中有許多域,要跨域訪問資源就需要創建很多個外部信任,這種方法就顯得不太現實,這就引出了林信任,只用在林根域之間建立林信任就不需要創建多個外部信任,在爲林信任是可傳遞的。注:實現林信任,前提條件,林功能級別爲windows server2003,域功能級別可爲windows 2000 本機/wndows server 2003。
林中的域的信任關係是可傳遞的。如域A信任域B,域B信任域C,即域A信任域C。而外部信任不能得出這結果。信任方向有單向和雙向兩種。其中單向分爲內傳和外傳兩種。內傳指指定域信任本地域,外傳指本地域信任指定域。雙向指兩個域之間有兩個方向上的兩條信任路徑。如域A做單向外傳指向域B,則域B可訪問域A資源。
“把niit.com的全局組G加到benet.com的域本地組DL,實現AGDLP“。上面是設置的DL的成員,也可以換個角度,設置G隸屬於DL。(在實驗中發現需要重啓電腦a才能看到niit.com,但是在b上設置G隸屬於時不需要重啓就能看到benet.com中的成員)