server2003-多域间林之间信任配置方法详解(附图)

多域间林之间信任配置方法详解

-----冯刚

DATA:20091018

实验拓朴

server2003-多域间林之间信任配置方法详解(附图)_第1张图片

实验 环境描述:

MICHAEL公司日常办使用的域是“michael.com.cn”(林1),工程部最近做了一项工程,搭建一个域为“fung.com.cn”(林2),此域存放了这次项目的工作文档,存储在一个共享文件夹“michael”中。供林1域中的工程部员工访问,如何使用”AGUDLP“规则实现以上目标。

两个林级别为windows 2000.

实验目标:

1)。此次实验以做外部信任和林信任为主。

2)。理解信任的创建,

3)。掌握林之间跨域访问的方法,

4)。掌握AGUDLP规则。

实验步骤:

创建外部信任。

1. 新建林1“michael.com.cn ,林2“fung.com.cn.(图略)

2. 在两个林之间做DNS互相转发。(为后面的信任做解析准备)。

3. 在“fung.com.cn的DC上配置被信任域。(如下图)

clip_image004

clip_image006

clip_image008

clip_image010

clip_image012

clip_image014

clip_image016

clip_image018

clip_image020

clip_image022

clip_image024

在信任域“fung.com.cn上面可以看到被信任的域。(如下所示)

clip_image026

clip_image027被信任域的用户可以到信任域的计算机上去登录。在“fung.com.cn信任域的登录界面可以看到有被信任域“MICHAEL.如下图所示:

clip_image029

在被信任域的DC上可以看到信任此域的域。

clip_image031

4. 跨域访问资源(AGUDLP规则的使用)

被信任域“michael.com.cn上面新建用户“aa,bb 组“globall,用户加入”golball如下图所示:

clip_image033

clip_image035

信任域“fung.com.cn上面新建本地域组“locall,且加被信任域上“globall全局组到本地域组,如下图所示:

clip_image037

clip_image039

clip_image041

Fung.com.cn新建共享文件“michael

clip_image043

clip_image045

本地域级赋权限。

clip_image047

clip_image049

clip_image051

clip_image053

5.访问测试。

方法1:被信任域通过使用本域的计算机,通过网络方式访问。如下所示

Michael.com.cn

clip_image055

clip_image057

clip_image059

clip_image061

方法2:在信任域的计算机上面,用被信任域的用户登录到到被信任域,来访问共享文件夹.

clip_image063

clip_image065

clip_image057[1]

clip_image059[1]

clip_image066

测试成功………….

创建林信任.

原故:外部信任为不同域之间跨域访问资源提拱了方法,但是如果两个林中有许多域,要跨域访问资源就要新建多个外部信任,有没有方法简化呢? 有,只用在林根域之间建立林信任关系就不必要新建多个外部信任,因为林信任是可传递的.

作用:适用于应用程序服务提供商,正在经历合并或收购的公司,合作企业Extranet以级寻求管理自治解决方案的公司.

条件: 和新建外部信任不同的是,要新建林信任之前要提升林功能级别为windows server 2003,这是新建林信任的前提条件,提升林功能之前,先要将林中所有域的域功能级别设置为windows 2000本机或windows server 2003.

1. 提升域功能级别.

域功能级别

支持的域控制器

Windows 2000混合

Windows NI4.0

Windows 2000

Windows server 2003家族.

Windows 2000本机

Windows 2000

Windows server 2003家族.

Windows server 2003

Windows server 2003家族.

注意:

一旦提升域功能级别之后,就不能再将运行旧版操作系统的域控制器引入此域中,如,如果将域功能级别提升至windows server 2003,则不能再将运行windows 2000 server的域控制器添加到此域中.

clip_image068

clip_image070

clip_image072

clip_image074

clip_image076

clip_image078

林2fung.com.cn提升域功能级别也是用以上同样的方法,这里不做详细说明.

2. 提升林功能级别.

林功能级别

支持的域控制器

Windows 2000

Windows NT4.0

Windows 2000

Windows server 2003家族.

Windows server 2003

Windows server 2003家族.

clip_image080

clip_image082

clip_image084

clip_image086

clip_image088

3. 新建林信任.

在林2fung.com.cn上配置如下所示:

clip_image090

clip_image092

clip_image094

clip_image096

clip_image098

clip_image100

clip_image102

clip_image104

clip_image106

clip_image108

clip_image110

clip_image112

clip_image114

clip_image116

clip_image118

4.也可有AGUDLP规则进行访问.

你可能感兴趣的:(职场,详解,休闲,附图)