多域间林之间信任配置方法详解
-----冯刚
DATA:20091018
实验拓朴:
实验 环境描述:
MICHAEL公司日常办使用的域是“michael.com.cn”(林1),工程部最近做了一项工程,搭建一个域为“fung.com.cn”(林2),此域存放了这次项目的工作文档,存储在一个共享文件夹“michael”中。供林1域中的工程部员工访问,如何使用”AGUDLP“规则实现以上目标。
两个林级别为windows 2000.
实验目标:
1)。此次实验以做外部信任和林信任为主。
2)。理解信任的创建,
3)。掌握林之间跨域访问的方法,
4)。掌握AGUDLP规则。
实验步骤:
创建外部信任。
1. 新建林1“michael.com.cn” ,林2“fung.com.cn”.(图略)
2. 在两个林之间做DNS互相转发。(为后面的信任做解析准备)。
3. 在“fung.com.cn”的DC上配置被信任域。(如下图)
在信任域“fung.com.cn”上面可以看到被信任的域。(如下所示)
被信任域的用户可以到信任域的计算机上去登录。在“fung.com.cn”信任域的登录界面可以看到有被信任域“MICHAEL”.如下图所示:
在被信任域的DC上可以看到信任此域的域。
4. 跨域访问资源(AGUDLP规则的使用)
被信任域“michael.com.cn”上面新建用户“aa,bb” 组“globall”,用户加入”golball”如下图所示:
信任域“fung.com.cn”上面新建本地域组“locall”,且加被信任域上“globall”全局组到本地域组,如下图所示:
“Fung.com.cn”新建共享文件“michael”
本地域级赋权限。
5.访问测试。
方法1:被信任域通过使用本域的计算机,通过网络方式访问。如下所示
“Michael.com.cn”
方法2:在信任域的计算机上面,用被信任域的用户登录到到被信任域,来访问共享文件夹.
测试成功………….
创建林信任.
原故:外部信任为不同域之间跨域访问资源提拱了方法,但是如果两个林中有许多域,要跨域访问资源就要新建多个外部信任,有没有方法简化呢? 有,只用在林根域之间建立林信任关系就不必要新建多个外部信任,因为林信任是可传递的.
作用:适用于应用程序服务提供商,正在经历合并或收购的公司,合作企业Extranet以级寻求管理自治解决方案的公司.
条件: 和新建外部信任不同的是,要新建林信任之前要提升林功能级别为”windows server 2003,这是新建林信任的前提条件,提升林功能之前,先要将林中所有域的域功能级别设置为windows 2000本机或windows server 2003.
1. 提升域功能级别.
域功能级别 |
支持的域控制器 |
Windows 2000混合 |
Windows NI4.0 Windows 2000 Windows server 2003家族. |
Windows 2000本机 |
Windows 2000 Windows server 2003家族. |
Windows server 2003 |
Windows server 2003家族. |
注意:
一旦提升域功能级别之后,就不能再将运行旧版操作系统的域控制器引入此域中,如,如果将域功能级别提升至windows server 2003,则不能再将运行windows 2000 server的域控制器添加到此域中.
林2”fung.com.cn”提升域功能级别也是用以上同样的方法,这里不做详细说明.
2. 提升林功能级别.
林功能级别 |
支持的域控制器 |
Windows 2000 |
Windows NT4.0 Windows 2000 Windows server 2003家族. |
Windows server 2003 |
Windows server 2003家族. |
3. 新建林信任.
在林2”fung.com.cn”上配置如下所示:
4.也可有”AGUDLP”规则进行访问.