WINDOWSSERVER2003從入门到精通之林之间的信任关系.doc

WINDOWS SERVER 2003从入门到精通之林之间的信任关系 2007-08-30 13:56:09 　标签： HYPERLINK /tagindex.php?keyword=WIN2003 \t _blank WIN2003 HYPERLINK /tagindex.php?keyword=%D0%C5%C8%CE \t _blank 信任　　　[ HYPERLINK / 推送到技术圈] 版权声明：原创作品，如需转载，请与作者联系。否则将追究法律责任。 大家应该知道,使用WIN2003创建的AD(林)中的各个域之间的信任关系默认就是双向信任可传递的.那么如果企业的应用中如果出现了两个林或更多的林时,还要进行相互的资源访问时,我们该怎么办?因为默认只是同在一个林中才能双向信任可传递,两个林(AD)间没有这个关系,那么就需要我们手动来配置林之间的信任关系,从而来保证不同林中的资源互访.比如说企业之间的兼并问题,两个公司之前都使用的是MS的AD来管理,那么大家可想而知这两家企业之前肯定是两个林,那么现在兼并后,如何让这两个林之间能够建立信任关系吗?都有什么方法呢?那今天我们就来学习一下如何创建林之间的信任关系! ? 在一个林中林之间的信任分为外部信任和林信任两种 a)外部信任是指在不同林的域之间创建的不可传递的信任 b)林信任是Windows 2003林根域之间建立的信任,是WINDOWS SERVER 2003林根域之间建立的信任,为任一林内的各个域之间提供一种单向或双向的可传递信任关系 ? 1.创建外部信任 创建外部信任之前需要设置DNS转发器:在两个林的DC之间的DNS服务器各配置转发器:在project域中能解析在benet域中能解析project.lcom ? a)首先我们在APTECH.COM域的DC上配置DNS服务器设置转发器,把所有BENET.NET域的解析工作都转发到这台机器上: ? ? 配置后DNS转发后去PING一下APTECH.COM,看是否连通,如果通即可: ? 然后再在另一个域BENET.NET中的DC的DNS服务器也同样设置DNS转发,把APTECH.COM的转发到的机器上来: ? 同样PING一下,看是否能PING通: ? b)准备工作做好后,就开始创建外部信任: ? 首先在APTECH.COM域的DC上打开AD域和信任关系工具,在APTECH.COM域的属性中的信任选项卡: ? ? 单击新建信任: ? ? 输入信任名称(这里要注意是你这个域要信任的域): ? 选择单向:外传: 双向:本地域信任指定域,同时指定域信任本地域 单向:内传:指定域信任本地域(换句话说就是,你信任我的关系) 单向:外传:本地域信任指定域(例如,APTECH.COM域信任BENET.NET域,我信任你的关系) ? ? 注意:由于信任关系是在两个域之间建立的,如果在域A(本地域)建立一个单向:外传信任,则需要在域B(指定域)必须建立一个单向:内传信任.但如果选择了这个域和指定的域单选按钮,就会在指定域自动建立一个单向:内传的信任! ? ? 输入指定域中有管理权限的帐户名称和密码: ? ? ? ? ? ? c)创建完成后,验证方法可以使用: 在APTECH.COM域的DC上查看信任关系: ? ? 在BENET.NET域的DC上查看信任关系: ? ? 还有一种验证方法就是被信任域的用户可以到信任域的计算机上登录,在信任域的计算机上的登录对话框中有被信任域名,说明可以输入被信任域的帐户登录(前提是要赋予该帐户登录的权限): ? ? 但是否能登录还是要看权限,因为默认情况下是不能登录到DC的,那么在本地域的域控制器安全策略中打开安全策略-本地策略-用户权限分配-允许在本地登录中添加被信任域的管理员即可! ? d)林之间的外部信任的特点: ??? 手工建立???????? 林之间的信任关系需要手工创建??? 信任关系不可传递???????? 林中的域的信任关系是不可传递的???????? 例如，域A直接信任域B，域B直接信任域C，不能得出域A信任域C的结论??? 信任方向有单向和双向两种???????? 单向分为内传和外传两种???????? 内传指指定域信任本地域???????? 外传指本地域信任指定域 ? e)创建好林中的信任关系后可以进行跨域访问资源 应用AGDLP规则实现跨域访问具体规则是:??? 1）被信任域的帐户加入到本域的全局组??? 2）被信任域的全局组加入到信任域的本地域组??? 3）给信任域的本地域组设置权限 ? 2.创建林信任 外部信任为不同域之间跨域访问资源提供了方法,但如果两个林中有许多域,要跨域访问资源就需要常见很多个外部信任,有没有简单方法呢?当然是有的,那就是只