Windows 多域间的访问及信任关系

Windows 多域间的访问
域树:公用连续域名空间的 windows 域。具有相同的域名后缀。域树的第一个域是域树的根域。单个域构成单个域的树。
向域中添加的任何新域称为子域。由本身的名字和父域域名结合成 DNS 名。
单个域树或者多个域树构成林。林中不同的域树不共用连续的域名空间。林中的所有域公用相同的配置架构和全局编录。
在林中创建的第一个域为林的根域。存在 Enterprise admins schema admins 组。
Enterprise admins 企业管理员组成员,可以对活动目录中的整个林做修改。例如添加子域。
Schema admins  架构管理员组成员 可对活动目录中整个林做架构修改。
 
安装活动目录的条件:
1、  拥有本地管理员权限
2、  操作系统版本( WEB 版本除外)
3、  本地磁盘至少有一个 NTFS 分区
4、  TCP/IP 设定。(固定 IP
5、  相应的 DNS 支持
6、  足够的空间
 
创建子域时,管理权限: Enterprise admins domain admins 成员。
 
在一个林中创建多域的原因:
1、  部门(或分公司)之间有不同的安全策略要求,可以针对部门或分公司创建域。
2、  有大量的活动目录对象,可以分解成多个域,使每个域活动目录对象较少。
3、  分散网络管理,而不是有一个域管理员管理,多个域多个域管理员。
4、  对复制进行更多的控制。
 
域之间建立信任关系
资源域(信任域):资源所在的域。账户域(被信任的域):信任账户所在的域。
 
林中默认的信任关系:父子信任、树根信任,不可删除的。
信任关系特点:
1、  自动建立。在创建子域或域树时自动建立。
2、  传递信任(可传递的)。 A 信任 B B 信任 C ,则 A 信任 C
3、  双向信任。两个域两个方向上的两条信任路径。
 
林中跨域访问: AGDLP 原则
跨域访问的两种方式 :
1、  用户试用本域的计算机通过网络方式访问资源。
2、  用户使用资源域的计算机访问资源。
 
林之间的信任:外部信任、林信任
外部信任:在不同的域之间创建的不可传递的信任。
林信任: windows server 2003 林特有的信任。 Windows server 2003 林根域之间建立的信任,提供单向或双向可传递的信任关系。
信任方向:
双向:本地域信任指定域,同时指定域信任本地域。
单向(外传):本地域信任指定域。
单向(内传):指定域信任本地域。
 
由于信任关系是在两个域之间建立的,如果域 A (本地域)建立一个单向:外传信任,则需要域 B (指定域)必须建立一个单向:内传信任。选择“这个域和指定的域”,就会在指定域自动建立一个单向:内传信任。
 
林间外部信任的特点:
1、  手动建立 2 、信任关系不可传递 3 、信任方向有单向和双向两种。
 
林信任:
前提条件:林的功能级别设置为: windows server 2003 。升级林功能级别之前,需要将林中所有域的域功能级别设置为 windows 2000 纯模式或 windows server 2003 模式。
 
域的功能级别:                         支持的域控
Windows 2000 混合模式     windows NT4.0  windows2000server    windows server 2003
Windows2000 本机(纯模式) windows 2000 server   windows  server 2003 家族
Windows  server 2003 模式     windows server 2003 家族
林的功能级别:                         支持的域控
Windows 2000                      windows NT4.0 windows 2000  windows 2003
Windows 2003                      windows  server    2003  
 
林信任的特点:
1、  林功能级别为 windows server 2003 才能创建
2、  只有在林根域之间才能创建
3、  信任关系可传递
4、  信任关系为单向和双向两种。

本文出自 “Larry Xu” 博客,谢绝转载!

你可能感兴趣的:(职场,休闲,windows域)