windows网络服务之配置林间外部信任

公司日常办公使用的域是sina.com（是一个林),工程部最近做一个项目，搭建一个域为google.net（是另外一个林）。google.net域中存储项目的工作文档，存储在共享文件夹share中，供sina.com域中的工程部的员工访问， 为了实现公司的要求，我们采用外部信任来建立两个不同的林之间的特定的域的信任关系，并且使用AGDLP规则来让sina.com中的工程部员工可以访问google.net上的共享文件夹。 实验的拓扑如下：   实验的准备工作： 使用VM软件，两台2003虚拟机，一台是sina.com的DC兼DNS，另外一台是google.net的DC兼DNS。 配置两台DNS的转发器功能，互相指向对方，以便互相解析出对方的DNS域名。 在sina.com域创建一个用户user1(代表工程部的一个员工帐户）和一个全局组project（代表工程部的全局组），将user1添加到project中。 为了能让user1登录DC（为了验证实验的效果），将user1添加为管理员组的成员。 在google.net域中创建一个本地域组file，创建一个共享文件夹share，在share文件夹的"安全”属性中给本地域组file设置“读取”和“写入”权限，字啊“共享”权限中设置everyone“完全控制” 将两个林的功能级别提升为windows server 2003模式。 试验完成的标准：使用user1可以在google.net上登录，使用UNC路径可以在google.net域的共享文件share中添加文件。 下面是具体的实现过程： （一）、创建外部信任 使用管理员登录到google.net的DC。 打开AD域和信任关系――右击google.net域名――从弹出的菜单选择属性――新建信任，单击新建信任按钮，出现新建信任向导，单击下一步。 下面要输入的是指定域中有权限的用户和密码 创建完成后，我们可以看到外部信任是不可传递的信任，且刚才创建的是单向的信任关系，如图 到现在，按照实验的要求，两个林之间的信任关系创建完毕，光有信任关系还是不够的，信任关系的建立只是为了文件的访问搭建了一个桥梁，如果想真正的访问还要有访问的权限，那么我们就要用到AGDLP规则了。 （二）、将被信任域sina.com的全局组project添加为信任域的本地域组file的成员 使用管理员登录到google.net的DC。 使用AD用户和计算机，将被信任域的全局组project添加到本地域组flie。 添加完成之后，下面就可以验证实验的效果了。 （三）、被信任域sina.com的帐户user1跨域访问信任域google.net的共享文件夹share 使用帐户user1登录到sina.com域的DC。 使用unc路径 \\10.1.1.2\share 打开共享文件夹，检查是否能新建文件。 其实验证信任关系是否建立的方式有很多种，比如：如果google.net信任sina.com的话，那么user1是可以在google.net域登录的，并且在google.net的登录框是可以看到sina.com的。并且在google.net的AD域和信任关系里可以看到sina.com是被信任域，关系不可传递，只存在与两个特定的域之间。

本文出自 “曾垂鑫的技术专栏” 博客，谢绝转载！