XX醫療有限公司在日常辦公之中使用的域是abc.com(一個林),由於集團內新開了一家醫院這個醫院需要獨立覈算等要求,所以需要建立另外一個域XYZ.com;然後讓xyz.co可以跨林訪問abc.com的共享文件夾,如何達到這一使用要求呢;
讓我們來看這次實驗的拓撲圖:
1.首先讓我們瞭解一下信任關係的概念:
在一般的情況下,林中的默認信任域關係的特點一般有3個特點
自動建立:林中的域之間的信任關係是在創建子域或者域樹時自動創建的;
傳遞信任:林中的域的信任關係是可傳遞的:就像“張三”信任“李四”,“李四”信任“王二”,而“張三”又信任“王二”
雙向信任:雙向信任是指在兩個域之間有兩個方向上的兩條信任:就像“張三”相信“李四”,“李四”相信“張三”一樣;
信任的類型:林中的信任、林之間的信任
林中的信任分爲:樹根信任和父子信任;林之間的信任是自動建立的,而且是雙向的可傳遞的信任關係;雖然信任關係的建立爲跨訪問資源提供了前提條件,但是成功訪問還是必須設置權限:這就需要AGDLP規則
樹根信任:在同一個林中的兩個域樹之間的存在父子信任:在同一個域樹中父域和子域之間的存在`
林之間的信任分爲:外部信任和林信任
外部信任是指在不同林的域之間創建的不可信任的傳遞;林信任是在windows service 2003林中特有的信任;是windows service 2003林根域之間的建立的信任,在兩個windows service 2003 林之間創建林信任可爲任一林內的各個域之間提供一種單項或者雙向的可傳遞的信任關係
2.從上看出,我們的信任關係一共有5種,分別爲林內的:1.父子信任2.樹根信任 3.快捷信任 林間的:4.外部信任 5.林信任 因爲實驗環境的關係,我們只演示外部信任和林信任,其餘操作步驟大同小異;
3.首先讓我們來建立外部信任:
我們要保證雙方的DNS可以進行互相解析,我們的這兩臺DC又是DNS服務器,所以我們採取加入對方的DNS輔助區域的辦法和互相設置轉發器的辦法進行解析,操作步驟如圖:
dcabc:
dcxyz:
設置對方互爲轉發器:
在dcabc上設置轉發器
在dcxyz上設置轉發器
建立互相指定爲轉發器後,就可以進行互相的解析了,但是在微軟的官方文檔中,並不是很推薦這種方法,微軟建議採用建立對方爲DNS輔助區域的辦法進行解析,下面讓我們來截圖看看:
1.在dcabc上面允許區域傳送至dcxyz上
2.在dcabc上設置dcxyz的輔助區域:
至此:dcabc上加載dcxyz上輔助區域已經完成,在dcxyz的dns服務器上也需進行同樣操作,在這裏就不一一進行演示了;
3.在dcabc和dcxyz上分別解析對方的域名:
下一步讓我們dcabc上建立林之間雙向的外部信任關係:(外部信任關係是不可傳遞的)
打開dcabc上的活動目錄域和信任關係,對着abc.com右擊屬性:
![clip_p_w_picpath030]( "clip_p_w_picpath030")
在“信任名稱”頁面上,鍵入另一個林的 DNS 名稱(xyz.com)或 NetBIOS名稱(MKT),然後單擊“下一步”
在“信任方向”頁面, 選擇 “雙向”,表示兩個域中的用戶可以相互訪問對方的資源
選擇“ 這個域和指定的域”,表示同時在兩個域中建立信任關係,但需要有指定域的
輸入xyz.com有創建信任權限的用戶名和密碼
在“傳出信任身份驗證級別—本地域”,選擇“全域性身份驗證”,表示域xyz.com 中經過身份驗證的用戶可以使用本地域中的資源
確認將信任傳出和傳入:
之後我們的林之間的外部信任建立完成,同時我們將abc.com和xyz.com上進行查看,查看外部信任關係建立成功。
4.外部信任關係建立完成後,下面讓我們做一下林信任的實驗:步驟基本相同;
林信任屬於可以傳遞的信任,必須在林根域才能建立:
至此,林信任關係也已建立完畢;
下面讓我們利用AGDLP規則,進行一下ABC.com域訪問XYZ.com域中的資源
AGDLP意思是:A( 帳戶),加入G(全局組),再加到對方域的DL(域本地組),分配P(權限).
我們讓ABC.Com中得xiaohe用戶加入beijing全局組:
此時將xiaohe用戶加入beijing全局組,即實現了AG;
AG說了,下面讓我們來進行DLP,在xyz.com上建立本地域組,併爲其賦予權限;
讓我們在xyz.com上建立共享文件夾share,併爲其賦予權限;
現在我們就可以通過將abc.com的beijing全局組加入xyz.com的DL本地域組,來進行訪問了;
以上我們的AGDlp訪問規則,也已經實現;