多域之间资源共享访问(AGDLP策略)
目的:用AGDLP来实现访问其它域的文件服务器.或打印服务器.下面实现的是文件服务器的访问.AGDLP意思是:A( 帐户),加入G(全局组),再加到对方域的DL(域本地组),分配P(权限).
存在3台机器,一台DC(nwtrader.msft),一台DC(contoso.msft),一台加入域的客户端.(vmxp.contoso.msft).
即能用contoso.msft的用户访问nwtrader.msft的共享文件即可.
拓朴为:
www.ad119.cn/bbs/attachments/computer/20081230/200812301124491577801.jpg
先在各自域建立组和用户.
如下:
在nwtrader.msft建立DL组.
在contrader.msft建立G组及c用户.
www.ad119.cn/bbs/attachments/computer/20081230/200812301124497877802.jpg
www.ad119.cn/bbs/attachments/computer/20081230/2008123011244914077803.jpg
<
把用户c加入全局组G
即实现了AG
www.ad119.cn/bbs/attachments/computer/20081230/2008123011244920377804.jpg
用于分配P(权限).那先在nwtrader.msft上建立文件服务器.并为DL组赋与访问权.
实现了DLP
www.ad119.cn/bbs/attachments/computer/20081230/2008123011244932877805.jpg
为了验证结果,还在share里面建立了一文本.contoso.msft上的用户c能过来访问.即实现了AGDLP.
www.ad119.cn/bbs/attachments/computer/20081230/2008123011244943777806.jpg
<
AG说了,DLP也说了.还有最重要的一步没做,就是把contoso上的全局组G加入到nwtrader上的域本地组DL,这也是最重要的一步.
要在一个域里加其它域里的对象.那么域之间必须存在信任关系.
下面就实现如何在两域之间建立信任关系.
建立信任关系前提,必须能相互解释.那么在DNS上设置转发器即可.
www.ad119.cn/bbs/attachments/computer/20081230/2008123011244948477807.jpg
www.ad119.cn/bbs/attachments/computer/20081230/2008123011244953177808.jpg
确定相互解释成功.
www.ad119.cn/bbs/attachments/computer/20081230/2008123011244957877809.jpg
www.ad119.cn/bbs/attachments/computer/20081230/20081230112449640778010.jpg
<
接差下来就是提升域和林的功能级别.以实现2003上更多的功能.
www.ad119.cn/bbs/attachments/computer/20081230/20081230112449734778011.jpg
www.ad119.cn/bbs/attachments/computer/20081230/20081230112449828778012.jpg
下面终于可以建立信任关系啦.
www.ad119.cn/bbs/attachments/computer/20081230/20081230112449921778013.jpg
www.ad119.cn/bbs/attachments/computer/20081230/20081230112449968778014.jpg
<
设置信任类型,信任方向.做的是双向,说明两个域之间的资源都可相互访问。
www.ad119.cn/bbs/attachments/computer/20081230/2008123011245031778015.jpg
www.ad119.cn/bbs/attachments/computer/20081230/2008123011245078778016.jpg
www.ad119.cn/bbs/attachments/computer/20081230/20081230112450171778017.jpg
身份验证.
www.ad119.cn/bbs/attachments/computer/20081230/20081230112450281778018.jpg
<
信任密码,用于确认信任关系.
www.ad119.cn/bbs/attachments/computer/20081230/20081230112450343778019.jpg
信任完毕,
www.ad119.cn/bbs/attachments/computer/20081230/20081230112450390778020.jpg
www.ad119.cn/bbs/attachments/computer/20081230/20081230112450437778021.jpg
是否传出信任,传入信任.我这里没有设置,等建立完后再验证.
www.ad119.cn/bbs/attachments/computer/20081230/20081230112450500778022.jpg
www.ad119.cn/bbs/attachments/computer/20081230/20081230112450593778023.jpg
<
信任完毕.contoso.msft做同样操作.
www.ad119.cn/bbs/attachments/computer/20081230/20081230112450656778024.jpg
www.ad119.cn/bbs/attachments/computer/20081230/20081230112450750778025.jpg
建完信任关系后,可手工验证信任关系.
www.ad119.cn/bbs/attachments/computer/20081230/20081230112450796778026.jpg
www.ad119.cn/bbs/attachments/computer/20081230/20081230112450875778027.jpg
现在可以实现把contoso.msft.的全局组G加到nwtrader的域本地组DL.
那么AGDLP的全过程就实现了.
下面看如何把contoso.msft.的全局组G加到nwtrader的域本地组DL.
www.ad119.cn/bbs/attachments/computer/20081230/20081230112450921778028.jpg
<
由于成功的信任关系存在,所以在nwtrader.msft这个域能看到contoso.msft
www.ad119.cn/bbs/attachments/computer/20081230/2008123011245115778029.jpg
www.ad119.cn/bbs/attachments/computer/20081230/2008123011245115778030.jpg
www.ad119.cn/bbs/attachments/computer/20081230/2008123011245178778031.jpg
以上,AGDLP for文件服务器的实现操作结束.回顾一下,我们做了在contoso.msft上把用户c加到全局组,再把contoso.msft的全局组加到nwtrader,msft的域本地组,再为域本地组分配权限.
<
剩下的就是验证结果.
在contoso.msft上设置了NAT.只是为了验证一下客户端能否访问文件服务器.
在vmxp.contoso.msft上用c登录.
www.ad119.cn/bbs/attachments/computer/20081230/2008123011245178778032.jpg
www.ad119.cn/bbs/attachments/computer/20081230/20081230112451140778033.jpg
www.ad119.cn/bbs/attachments/computer/20081230/20081230112451203778034.jpg
能成功访问.也可用于打印服务器.操作类似.完毕.
小结一下:
在上面我们做信任关系时看到的很多按钮,以及相关的概念:
外部信任VS林信任
外部信任:是指在不同林的域之间创建的不可传递的信任(不考虑4.0的域的信任关系)
注:可不需要提升域/林功能级别,我上面多此一举了,习惯。
林信任:外部信任为不同域间跨域访问提供了方法,可两个林中有许多域,要跨域访问资源就需要创建很多个外部信任,这种方法就显得不太现实,这就引出了林信任,只用在林根域之间建立林信任就不需要创建多个外部信任,在为林信任是可传递的。
注:实现林信任,前提条件,林功能级别为windows server2003,域功能级别可为windows 2000 本机/wndows server 2003。
传递信任
林中的域的信任关系是可传递的。如域A信任域B,域B信任域C,即域A信任域C。而外部信任不能得出这结果。
方向:
信任方向有单向和双向两种。其中单向分为内传和外传两种。内传指指定域信任本地域,外传指本地域信任指定域。双向指两个域之间有两个方向上的两条信任路径。如域A做单向外传指向域B,则域B可访问域A资源。
<
页:
[1]