域的基础知识
1 多重域结构
2 多域间AGDLP规则的实现 3 信任关系
一 多重域结构: 1 域:
2 域树:如A.com下面接着B.A.com, C.A.com等,域树是共用连续域名的windows域,所有域名的后缀都是相同的
同一域树中的所有域之间自动建立好双向,可传递的信任关系;父域的域管理员是没有权限管理子域的,反则同理;父域和子域间的域管理员组的成员基本是没有什么DC管理关系的,父域的域管理员帐户在子域中就是一普通的域用户,除了有信任关系和名称空间继承外,基本上可以认为是两个独立的DC管理的单元,但是森林中的企业管理员组中的成员是可以管理森林中的所有域的,企业管理员组的成员在森林中的权限是最大的,如在森林中增加或删除一域树、增加或删除一个子域等
3 域林或森林:由多个域树组成,如A.com,B.com,C.com;同一森林中的域树间会自动建立双向,会自动可传递的信任关系;不同森林间要手动建立信任关系
1)森林间的信任:在2棵树的root域间手动建立双向的信任,则以后2棵树的所有域间都是互相信任的,因为此种信任是可传递的;使用“AD域和信任关系/新建信任向导”来创建
二 森林间AGDLP规则的实现:不同的森林之间的访问共享利用此规则 实验环境:
总公司有一台DC1的域控制器,域名为che.com ,分部也有一台DC2的域控制器,域名叫cong.com ,并且分部有一个共享资源,共享文件夹名叫 share 。现在总部和分部通过互联网搭建了VPN网络,(VPN的意思是:通过互联网搭建的一个虚拟专用网络,可以让总公司和分公司通过互联网实现内网访问内网的功能,也就相当于总公司和分公司都是在一个局域网里一样),现在总部希望che.com域里的员工可以访问cong.com域里的share共享文件夹。
问题:怎么实现che.com域的员工访问cong.com域的共享资源呢? 解决方案:
总部che.com的域和分部cong.com的域通过VPN网络建立外部信任,再使用AGDLP规则实现che.com域的员工可以访问cong.com域里的共享资源。 外部信任:
是指在不同林的域之间创建的不可传递的信任,外部信任的关系需要手动建立,而
且信任关系是不可传递的,有单向和双向2种外部信任。 林信任:
2个林之间建立的信任关系,林信任的关系是可传递的,意思就是说cong.com的
域信任che.com的域的话,那么cong.com的域也会信任che.com域里的子域。 小提示:我们为什么不选择林之间的信任呢,而选择外部信任呢?因为外部信任是单向不可传递性的,只有che.com域的员工才可以访问cong.com域的资源,反之cong.com域的员工不可以访问che.com域的共享资源,也就是说只有总部可以访问分部的资源,而分部不能访问总部的资源。(如果要想总部和分部都可以互相访问资源的话可以建立双向的外部信任或者是林信任,具体怎么做可以根据公司的安排,毕竟还是老板说了算。) AGDLP的含义:
1.把用户加了到全局组 2.把全局组加入到本地域组 3.在给本地域组设置权限
这样就可以实现che.com域的员工可以访问cong.com域的share共享文件夹了 下面这个实验环境的拓扑图:
三 信任关系:
1 可分为可传递的信任关系和不可传递的信任关系;单向和双向的信任关系