AD域与信任关系.ppt

AD域与信任关系.ppt

《AD域与信任关系.ppt》由会员分享，可在线阅读，更多相关《AD域与信任关系.ppt（25页珍藏版）》请在冰豆网上搜索。

1,1,本章结构,多域间访问,创建林信任,创建外部信任,林之间信任,林间跨域访问资源,林、域树、子域,林、域树和子域,创建林、域树和子域,林中的信任关系,林中跨域访问,2,2,林、域树和子域,林、域树和子域都是活动目录的逻辑单元可以将网络划分成树状层次结构,3,3,域树和子域,域树是共用连续域名空间的Windows域向域树中添加的任何新域都叫做子域,父域,子域,B,B,树的根域,4,4,林,单个域树或者多个域树构成林林中的不同域树不共用连续的域名空间,B,B,A,B,H,域树,域树,林,林的根域,5,5,林的根域,在林中创建的第一个域叫做林的根域林根域有两个预定义的组EnterpriseAdminsSchemaAdmins,可以对活动目录中的整个林作修改，例如添加子域,可以对活动目录中整个林作架构修改,6,6,创建林、域树和子域,确认安装DC条件创建林创建另外一棵域树（见AD-多域配置）创建子域（见AD-多域配置）,B,B,A,7,7,林中的信任关系,信任是域之间沟通的桥梁，域之间访问需要有信任关系,8,8,林中信任关系特点,自动建立在创建子域或域树时自动创建（同一个林内）双向信任在两个域之间有两个方向上的两条信任路径例如：

域A信任域B，域B信任域A传递信任信任关系是可传递的例如：

域A直接信任域B，域B直接信任域C,则域A信任域C,9,9,查看信任关系,父子信任：

在同一个域树中父域和子域之间树根信任：

在同一个林中两个域树根域之间,10,10,林中跨域资源访问,两种方式实现跨域访问使用账户登录账户域计算机，通过网络访问资源域的资源使用账户域账户在资源域计算机上登录从而访问资源域资源AGDLP含义将用户账户加入全局组将全局组加入本地域组给本地域组赋权限使用AGDLP简化了权限的管理,11,11,林之间的信任,林之间的信任分为外部信任与林信任外部信任是指在不同林的域之间创建的不可传递的信任创建外部信任需要两个域能互相解析对方互设条件转发器（DNS）,外部信任,12,12,外部信任的特点,手工建立林之间的信任关系需要手工创建信任关系不可传递信任方向有单向和双向单向分为内传和外传两种内传指指定域信任本地域外传指本地域信任指定域,13,13,创建外部信任,在AD域和信任关系控制台中右击域名-属性-信任,14,14,创建外部信任,新建信任-输入另一域名,15,15,创建外部信任,选择信任方向,16,16,创建外部信任,选择本地域和指定域之间创立信任关系,17,17,创建外部信任,输入指定域的用户名和密码,18,18,创建外部信任,选择验证范围,19,19,确定传出信任和传入信任,20,20,林信任,林信任的意义如果两个林中有许多域，要跨域访问资源就需要创建很多个外部信任在林根域之间建立林信任就不需要创建多个外部信任，因为林信任是可传递的林信任的特点林功能级别为WindowsServer2003或更高才能创建只有在林根域之间才能创建建立林信任后，两个林中每个域之间的信任关系是可传递的信任方向有单向和双向两种,21,21,创建林信任,创建林信任与创建外部信任方法类似不同的是需要升级林功能级别为WindowsServer2003或更高：

提升林功能级别方法如下,22,22,创建林信任,方法同外部信任,23,23,林间跨域访问资源,与林内跨域访问一样，还需设置正确访问权限才能成功访问资源应用AGDLP规则被信任域的帐户加入到被信任域的全局组被信任域的全局组加入到信任域的本地域组给信任域的本地域组设置权限,24,24,本章总结,多域间访问,创建林信任,创建外部信任,林之间信任,林间跨域访问资源,林、域树、子域,林、域树和子域,创建林、域树和子域,林中的信任关系,林中跨域访问,25,25,