Windows 多域间的访问 信任关系

Windows 多域间的访问

域树：公用连续域名空间的 windows 域。具有相同的域名后缀。域树的第一个域是域树的根域。单个域构成单个域的树。

向域中添加的任何新域称为子域。由本身的名字和父域域名结合成 DNS 名。

单个域树或者多个域树构成林。林中不同的域树不共用连续的域名空间。林中的所有域公用相同的配置架构和全局编录。

在林中创建的第一个域为林的根域。存在 Enterprise admins 和 schema admins 组。

Enterprise admins 企业管理员组成员，可以对活动目录中的整个林做修改。例如添加子域。

Schema admins  架构管理员组成员 ， 可对活动目录中整个林做架构修改。

 

安装活动目录的条件：

1、  拥有本地管理员权限

2、  操作系统版本（ WEB 版本除外）

3、  本地磁盘至少有一个 NTFS 分区

4、  TCP/IP 设定。（固定 IP ）

5、  相应的 DNS 支持

6、  足够的空间

 

创建子域时，管理权限： Enterprise admins 、 domain admins 成员。

 

在一个林中创建多域的原因：

1、  部门（或分公司）之间有不同的安全策略要求，可以针对部门或分公司创建域。

2、  有大量的活动目录对象，可以分解成多个域，使每个域活动目录对象较少。

3、  分散网络管理，而不是有一个域管理员管理，多个域多个域管理员。

4、  对复制进行更多的控制。

 

域之间建立信任关系

资源域（信任域）：资源所在的域。账户域（被信任的域）：信任账户所在的域。

 

林中默认的信任关系：父子信任、树根信任，不可删除的。

信任关系特点：

1、  自动建立。在创建子域或域树时自动建立。

2、  传递信任（可传递的）。 A 信任 B ， B 信任 C ，则 A 信任 C 。

3、  双向信任。两个域两个方向上的两条信任路径。

 

林中跨域访问： AGDLP 原则

跨域访问的两种方式 :

1、  用户试用本域的计算机通过网络方式访问资源。

2、  用户使用资源域的计算机访问资源。

 

林之间的信任：外部信任、林信任

外部信任：在不同的域之间创建的不可传递的信任。

林信任： windows server 2003 林特有的信任。 Windows server 2003 林根域之间建立的信任，提供单向或双向可传递的信任关系。

信任方向：

双向：本地域信任指定域，同时指定域信任本地域。

单向（外传）：本地域信任指定域。

单向（内传）：指定域信任本地域。

 

由于信任关系是在两个域之间建立的，如果域 A （本地域）建立一个单向：外传信任，则需要域 B （指定域）必须建立一个单向：内传信任。选择“这个域和指定的域”，就会在指定域自动建立一个单向：内传信任。

 

林间外部信任的特点：

1、  手动建立 2 、信任关系不可传递 3 、信任方向有单向和双向两种。

 

林信任：

前提条件：林的功能级别设置为： windows server 2003 。升级林功能级别之前，需要将林中所有域的域功能级别设置为 windows 2000 纯模式或 windows server 2003 模式。

 

域的功能级别：                         支持的域控

Windows 2000 混合模式     windows NT4.0  windows2000server    windows server 2003

Windows2000 本机（纯模式） windows 2000 server   windows  server 2003 家族

Windows  server 2003 模式     windows server 2003 家族

林的功能级别：                         支持的域控

Windows 2000                      windows NT4.0 windows 2000  windows 2003

Windows 2003                      windows  server    2003  

 

林信任的特点：

1、  林功能级别为 windows server 2003 才能创建

2、  只有在林根域之间才能创建

3、  信任关系可传递

4、  信任关系为单向和双向两种。