5)组织单元可以用来逻辑地组织用户、组、计算机等,反映了企业行政管理的实际框架,创建的方法为:在图12-32窗口左部的域树中,选中informatio.com,右击,选择“新建”→“组织单位”命令,在“新建对象—组织单位”对话框中,输入组织单元名称,单击“确定”按钮即可。
12.4.2 创建信任关系
信任关系是两个域控制器之间实现资源互访的重要前提,任何一个域被加入到域目录树后,这个域都会自动信任父域,同时父域也会自动信任这个新域,而且这些信任关系具备双向传递性。由于这个信任关系的功能是通过所谓的Kerberos安全协议完成的,因此有时也被称为Kerberos信任。
当网络中有多个不同的域,想要让每个用户都可以自由访问网络中的每台服务器(不管用户是否属于这个域)时,域之间需要创建信任关系。在前面的章节中,我们已创建了一个是cninfo.com域,主域计算机名为ycserver,TCP/IP地址为:192.168.1.7,现在我们再创建一个ycdata.com域,主域计算机名为ycserver-02,TCP/IP地址为:192.168.1.6。下面我们就以这两个域为例,介绍信任关系的创建。创建信任关系时,在ycserver-02计算机上进行操作,具体的操作步骤为:
1)单击“开始”→“管理工具”→“Active Directory域和信任关系”,从主窗口中右击ycdata.com域名,从现出的菜单中选择“属性”,打开“域属性”窗口,接着单击“信任”标签,打开如图12-14所示的“信任”选项卡。由于当前域尚未与其它任何域建立信任关系,所以此时列表为空。
图12-14
2)单击“新建信任”按钮,打开“新建信任向导”,单击“下一步”按钮,弹出 “信任名称”窗口,在“名称”文本框中输入要与之建立信任关系的NetBIOS名称或者DNS名称,这里为“cninfo.com”。
3)单击“下一步”按钮,弹出“信任方向”对话框,选择信任关系的方向,可以是“双向”、“单向:内传”、“单向:外传”。双向的信任关系实际上是由两个单向的信任关系组成的,因此也可以通过分别建立两个单向的信任关系来建立双向信任有关系。这里为了方便,选择“双向”单选按钮,单击“下一步”按钮。
4)如图12-15所示,由于信任关系要在一方建立传入,在另一方建立传出,为了方便,选择“这个域和指定的域”单选按钮,同时创建传入和传出信任,单击“下一步”按钮,否则必须在cninfo.com域上重复以上的步骤。
图12-15
5)在对话框中输入cninfo.com域中管理员的账户和密码,单击“下一步”按钮。 6)选择“是,确认传出信任”按钮,即确认ycdata.com域信任cninfo.com域,单击“下一步”按钮。
7)选择“是,确认传入”按钮,即确认cninfo.com域信任ycdata.com域,单击“下一步”按钮,信任关系成功创建,如图12-42所示,此时在“受此域信任的域”和“信任此域的域”列表框中均可看到刚才创建的信任关系。