多域之间资源共享访问(AGDLP策略)

目的:用AGDLP来实现访问其它域的文件服务器.或打印服务器.下面实现的是文件服务器的访问.
 
    AGDLP意思是:A( 帐户),加入G(全局组),再加到对方域的DL(域本地组),分配P(权限).

    存在3台机器,一台DC(nwtrader.msft),一台DC(contoso.msft),一台加入域的客户端.(vmxp.contoso.msft).
 
    即能用contoso.msft的用户访问nwtrader.msft的共享文件即可.
 
    拓朴为:
   
   
先在各自域建立组和用户.
    如下:
    在nwtrader.msft建立DL组.
    在contrader.msft建立G组及c用户.
   
2.JPG
3.JPG
 把用户c加入全局组G
    即实现了AG
   
4.JPG
    用于分配P(权限).那先在nwtrader.msft上建立文件服务器.并为DL组赋与访问权.
    实现了DLP
   
5.JPG
    为了验证结果,还在share里面建立了一文本.contoso.msft上的用户c能过来访问.即实现了AGDLP.
   
6.JPGAG说了,DLP也说了.还有最重要的一步没做,就是把contoso上的全局组G加入到nwtrader上的域本地组DL,这也是最重要的一步.
    要在一个域里加其它域里的对象.那么域之间必须存在信任关系.
    下面就实现如何在两域之间建立信任关系.
    建立信任关系前提,必须能相互解释.那么在DNS上设置转发器即可.
   
7.JPG
   
8.JPG
    确定相互解释成功.
   
9.JPG
   
10.JPG
 接差下来就是提升域和林的功能级别.以实现2003上更多的功能.
    11.JPG
   
12.JPG
    下面终于可以建立信任关系啦.
   
13.JPG
   
14.JPG
 设置信任类型,信任方向.做的是双向,说明两个域之间的资源都可相互访问。
   
15.JPG
   
16.JPG
   
17.JPG
    身份验证.
   
18.JPG
信任密码,用于确认信任关系.
   
19.JPG
    信任完毕,
   
20.JPG
   
21.JPG
    是否传出信任,传入信任.我这里没有设置,等建立完后再验证.
  
22.JPG
   
23.JPG
信任完毕.contoso.msft做同样操作.
   
24.JPG
   
25.JPG
    建完信任关系后,可手工验证信任关系.
   
26.JPG
   
27.JPG
    现在可以实现把contoso.msft.的全局组G加到nwtrader的域本地组DL.
    那么AGDLP的全过程就实现了.
    下面看如何把contoso.msft.的全局组G加到nwtrader的域本地组DL.
   
28.JPG
由于成功的信任关系存在,所以在nwtrader.msft这个域能看到contoso.msft
  
29.JPG
   
30.JPG
   
31.JPG
    以上,AGDLP for文件服务器的实现操作结束.回顾一下,我们做了在contoso.msft上把用户c加到全局组,再把contoso.msft的全局组加到nwtrader,msft的域本地组,再为域本地组分配权限.剩下的就是验证结果.
    在contoso.msft上设置了NAT.只是为了验证一下客户端能否访问文件服务器.
    在vmxp.contoso.msft上用c登录.
   
32.JPG
   
33.JPG
   
34.JPG
    能成功访问.也可用于打印服务器.操作类似.完毕.

    小结一下:
    在上面我们做信任关系时看到的很多按钮,以及相关的概念:
 
    外部信任VS林信任
 
    外部信任:是指在不同林的域之间创建的不可传递的信任(不考虑4.0的域的信任关系)
    注:可不需要提升域/林功能级别,我上面多此一举了,习惯。

    林信任:外部信任为不同域间跨域访问提供了方法,可两个林中有许多域,要跨域访问资源就需要创建很多个外部信任,这种方法就显得不太现实,这就引出了林信任,只用在林根域之间建立林信任就不需要创建多个外部信任,在为林信任是可传递的。

    注:实现林信任,前提条件,林功能级别为 windows server2003,域功能级别可为 windows 2000 本机/wndows server 2003。

    传递信任
 
    林中的域的信任关系是可传递的。如域A信任域B,域B信任域C,即域A信任域C。而外部信任不能得出这结果。
 
    方向:

    信任方向有单向和双向两种。其中单向分为内传和外传两种。内传指指定域信任本地域,外传指本地域信任指定域。双向指两个域之间有两个方向上的两条信任路径。如域A做单向外传指向域B,则域B可访问域A资源。

你可能感兴趣的:(职场,访问,资源共享,休闲,AGDLP)