配置ActiveDirectory委派和信任.pptVIP

第 3 章：配置 Active Directory 对象和信任 课程 10078A * 第 1 章：实施 Active Directory 域服务 课程 10078A * 第 1 章：实施 Active Directory 域服务 课程 10078A * 第 1 章：实施 Active Directory 域服务 课程 10078A * 第 3 章：配置 Active Directory 对象和信任 课程 10078A * 第 3 章：配置 Active Directory 对象和信任 课程 10078A * 第 3 章：配置 Active Directory 对象和信任 课程 10078A * 项目6配置 Active Directory 委派和信任 项目6：配置 Active Directory 委派和信任 项目背景： 为了优化AD DS管理员的工作效率，CCIT将把某些管理任务委派给初级管理员。这些管理员将被授予管理不同OU中的用户和组账户的访问权。CCIT还建立了与CIMT之间的伙伴关系。两家公司中的一些用户必须能够访问对方公司中的资源。但是，两家公司之间的访问必须限制为尽可能少量的用户和服务器。 任务6-1：委派AD DS对象的控制权 任务6-2：配置AD DS林信任 项目6：拓扑图 相关知识 任务6-1：委派AD DS对象的控制权 AD DS对象权限 有效权限 控制委派 任务6-2：配置AD DS信任 AD DS信任 信任类型 任务6-1相关知识—AD DS对象权限 Active Directory 权限： 包括标准权限和特殊权限： 标准权限是最常分配的权限 特殊权限实现更细致地控制对象访问权的分配 可以是允许、隐式拒绝或显式拒绝 可设置在对象级别，或者从父对象上继承 任务6-1相关知识—AD DS有效权限 有效权限是授予指定用户或组的实际权限。 权限是累积的，包括分配给该用户账户的权限以及分配给其组账户 的权限 显式拒绝权限覆盖允许权限 显式允许权限覆盖显式拒绝权限 对象所有者总是可以更改权限 对象所有者总是可以更改权限。 有效权限工具计算特殊权限时，不会使用特殊标识 任务6-1相关知识—控制委派 域 OU1 OU2 Admin2 Admin1 Admin3 OU3 控制委派是将管理 Active Directory 对象的职责分配给其他用户或组。 委派管理： 分摊日常管理任务，从而减轻管理工作负担 为用户或组提供更多的对本地网络资源的控制权 避免了需要多个管理账户 任务6-1相关知识—演示：创建委派控制 任务6-1相关知识—演示：验证有效权限 任务6-1相关知识—演示：允许Domain Users登录到域控制器 任务6-2相关知识—AD DS信任 信任域和受信任域，如图，当A域信任B域后： A域被称为信任域，B域被称为受信任域。 B域的用户只要有适当的权限就可以访问A域内的资源，故A域又被称为资源域，B域被称为账户域。 B域的用户可以到A域的计算机上登录。 信任提供使用户可访问其他域中的资源的机制。 任务6-2相关知识—AD DS信任类型 林 （根） 树/根 信任 林 信任 快捷信任 外部 信任 领域 信任 域 D 林 1 域 B 域 A 域 E 域 F 林 （根） 域 P 域 Q 父/子信任 林 2 域 C 任务6-2相关知识—信任在林中的工作方式 树 1 树 2 域 1 树根 域 林根 域 域 2 域 C 域 A 域 B 任务6-2相关知识—Kerberos协议 Kerberos最初是MIT（麻省理工学院）为Athena项目开发的，是TCP/IP网络设计的可信任的第三方认证协议。 Kerberos提供了一种在开放式网络环境下进行身份认证的方法，并允许个人访问网络中不同的机器，它使网络上的用户可以相互证明自己的身份。 Kerberos采用对称密钥体制（采用DES，也可用其它算法代替）对信息进行加密 基本思想是：由于Kerberos是基于对称密码体制，它与网络上的每个实体分别共享一个不同密钥，能正确对信息进行解密的用户就是合法用户。 用户在对应用服务器进行访问之前，必须先从第三方（Kerberos服务器）获取该应用服务器的访问许可证（ticket） 网络上的Kerberos服务器起着可信仲裁者的作用，可提供安全的网络鉴别，允许个人访问网络中不同的机器。 基于对称密码学，与网络上的每个实体分别共享一个不同的秘密密钥，是否知道该秘密密钥便是身份的证明。主要包括以下几个部分： 客户机(client)、服务器(server)； 认证服务器(AS)、票据授予服务器（ticket-granting server，TGS）。 任务6-2相关知识—Kerberos V5工作原理 任