目的:用AGDLP来实现访问其它域的文件服务器或打印服务器下面实现的是文件服务器的访问 AGDLP意思是:A( 帐户)加入G(全局组)再加到对方域的DL(域本地组)分配P(权限) 存在台机器一台DC(nwtradermsft)一台DC(contosomsft)一台加入域的客户端(ntosomsft) 即能用contosomsft的用户访问nwtradermsft的共享文件即可 拓朴为: 先在各自域建立组和用户 如下: 在nwtradermsft建立DL组 在contradermsft建立G组及c用户 把用户c加入全局组G 即实现了AG 用于分配P(权限)那先在nwtradermsft上建立文件服务器并为DL组赋与访问权 实现了DLP 为了验证结果还在share里面建立了一文ntosomsft上的用户c能过来访问即实现了AGDLP AG说了DLP也说了还有最重要的一步没做就是把contoso上的全局组G加入到nwtrader上的域本地组DL这也是最重要的一步 要在一个域里加其它域里的对象那么域之间必须存在信任关系 下面就实现如何在两域之间建立信任关系 建立信任关系前提必须能相互解释那么在DNS上设置转发器即可 确定相互解释成功 接差下来就是提升域和林的功能级别以实现上更多的功能 下面终于可以建立信任关系啦 设置信任类型信任方向做的是双向说明两个域之间的资源都可相互访问 身份验证 信任密码用于确认信任关系 信任完毕 是否传出信任传入信任我这里没有设置等建立完后再验证 信任完ntosomsft做同样操作 建完信任关系后可手工验证信任关系 现在可以实现把contosomsft的全局组G加到nwtrader的域本地组DL 那么AGDLP的全过程就实现了 下面看如何把contosomsft的全局组G加到nwtrader的域本地组DL 由于成功的信任关系存在所以在nwtradermsft这个域能看到contosomsft 以上AGDLP for文件服务器的实现操作结束回顾一下我们做了在contosomsft上把用户c加到全局组再把contosomsft的全局组加到nwtradermsft的域本地组再为域本地组分配权限 剩下的就是验证结果 在contosomsft上设置了NAT只是为了验证一下客户端能否访问文件服务器 在ntosomsft上用c登录 能成功访问也可用于打印服务器操作类似完毕 小结一下 在上面我们做信任关系时看到的很多按钮以及相关的概念 外部信任VS林信任 外部信任是指在不同林的域之间创建的不可传递的信任(不考虑的域的信任关系) 注可不需要提升域/林功能级别我上面多此一举了习惯 林信任外部信任为不同域间跨域访问提供了方法可两个林中有许多域要跨域访问资源就需要创建很多个外部信任这种方法就显得不太现实这就引出了林信任只用在林根域之间建立林信任就不需要创建多个外部信任在为林信任是可传递的 注实现林信任前提条件林功能级别为windows server域功能级别可为windows 本机/wndows server 传递信任 林中的域的信任关系是可传递的如域A信任域B域B信任域C即域A信任域C而外部信任不能得出这结果 方向 信任方向有单向和双向两种其中单向分为内传和外传两种内传指指定域信任本地域外传指本地域信任指定域双向指两个域之间有两个方向上的两条信任路径如域A做单向外传指向域B则域B可访问域A资源 |