域和信任关系
8、域信任关系
Windows Server 2003域可以与“非 Windows系统”的Kerberos V5领域之间建 立信任关系,这个信任关系成为领域信任。 这种跨平台的信任关系,让Windows Server 2003域能够与使用其他版本的 Kerberos V5的系统(如UNIX)相互沟通。 领域信任可以使单向或双向的,而且可以 在“传递性”与“非传递性”之间切换。
“林”信任
两个Windows Server 2003林之间,可以通过 林信任来建立信任关系,以便让不同林内的用户 能够相互访问对方内的资源。可以自行决定建立 单向或双向的信任关系。若两个林之间建立了双 向的信任关系,由于林信任具备“双向传递性”, 因此会让两个林中的所有域之间都相互的信任, 也就是说所有域内的用户都可以访问其他于内的 资源。但是两个林之间的信任不会自动延伸到第3 个林中。
8.3 管理与删除信任
8.3.1 信任的管理
欲改变信任的设置可以通过选取欲管理的信任—“属 性”来确认信任、改变名称后缀路由设置或改变验证设置。
8.3.2 信任的删除
可以将“快捷方式信任”、“林信任”、“外部信 任”、“领域信任”等自行建立的信任删除,但系统自动 建立的“父子信任”与“树根项目录信任”不可以删除。
“外部”信任
Windows Server 2003域可以通过外部 信任来与Windows NT 4.0域建立起信任关 系,另外分别位于两个林内的域之间,也 可以通过外部信任来建立信任关系。可以 决定建立单向或双向的信任关系。由于外 部信任并不具备“传递性”,因此和其他 域之间并不具备信任关系。
“领域”信任
信任
DC2
全局编录 DC1 DC 3
用户 Jack
信任关系解析
信任关系不同域之间要能互访,需要域之间存在信任关系。
信任关系分为可传递信任和非可传递信任。
可传递信任:任何一个域被加入到域目录树后,这个域都会自动信任父域,同时父域也会自动信任这个新域,而且这些信任关系具备双向传递性。
为了解决用户跨域访问资源的问题,可以在域之间引入信任,有了信任关系,域A的用户想要访问B域中的资源,让域B信任域A就行了。
信任关系分为单向和双向,如图所示。
图中①是单向的信任关系,箭头指向被信任的域,即域A信任域B,域A称为信任域,域B被称为被信任域,因此域B的用户可以访问域A中的资源。
图中②是双向的信任关系,域A信任域B的同时域B也信任域A,因此域A的用户可以访问域B的资源,反之亦然。
在域树中,父域和子域的信任关系是双向可传递的,因此域树中的一个域隐含地信任域树中所有的域。
另一种可传递信任不是默认的,可以通过在不同林根域之间建立信任关系来实现,如P53图2-71。
在域之间建立信任关系时,注意信任传递带来的隐含信任,如图2-72。
非可传递信任:非可传递信任的域之间必须通过手动创建信任,才能实现域间资源访问。
可以创建的有:●Server 2003/2008域与NT域●Server 2003/2008域与另一个林中的Server 2003/2008域(当两个林之间没有林信任关系时)●Server 2003/2008域与2000域●Active Directory域与Kerberos V5域操作:为两个域创建信任关系(TrustRelationship.exe)。
在两域间创建信任关系,需要满足能对两域进行解析。
所以首先在DNS服务器上进行区域的创建,并允许区域传送。
参考P55设置信任关系。
通过对域间资源访问进行验证。
Windows域信任关系建立全攻略
Windows域信任关系建立全攻略操作环境:windows 2000的两个独立域 与。
的网段为192.168.0.x, 域管理所在的IP为192.168.0.1,机器名为aa。
的网段为192.168.3.x,域管理所在的IP为192.168.3.1,机器名为bb。
两个域用VPN建立好连接,可互相ping通。
操作目的:建立互相信任的关系。
操作过程:1、建立DNS。
DNS必须使用的,而不能使用公网的,因为要对域进行解析。
由于在和 上的步骤相同,故只以为例。
在192.168.0.1上打开管理工具- DNS- 连接到计算机- 这台计算机。
在其正向搜索区域里新建区域- Active Directory集成的区域,输入,区域文件就叫.dns好了,然后完成。
右击新建的,选择属性- 常规,把允许动态更新改变为是。
然后在正向搜索区域里新建区域- 标准辅助区域,输入,IP地址输入192.168.3.1,然后完成。
右击新建的,选择从主传输。
在反向搜索区域里新建区域- Directory集成的区域,输入网络ID192.168.0,然后完成。
右击新建的192.168.0.x Subnet,选择属性- 常规,把允许动态更新改变为是。
现在的DNS已经建立好了,的也按此建立。
在192.168.0.1上进行测试,注意:DNS的传输可能需要一定的时间,最好在半个小时到一个小时后进行测试。
测试域名解析:ping 正常的为Pinging [192.168.0.1] with 32 bytes of data: Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Ping statistics for 192.168.0.1:Packets: Sent = 4, Received = 4, Lost = 0 ,Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms 这说明域已经解析好,如果ping 也能得到类似的响应,说明的解析也完成。
AD-域与信任关系
外部信任
11
外部信任的特点
手工建立
林之间的信任关系需要手工创建
信任关系不可传递 信任方向有单向和双向
单向分为内传和外传两种 外部信任 内传指指定域信任本地域 外传指本地域信任指定域
无信任关系 双向信任
12
创建外部信任
双向信任
在两个域之间有两个方向上的两条信任路径 例如:域A信任域B,域B信任域A
传递信任
信任关系是可传递的 例如:域A直接信任域B,域B直接信任域C,则域A信 任域C
8
查看信任关系
父子信任:在同一个域树中父域和子域之间 树根信任:在同一个林中两个域树根域之间
教员演示操作过程
9
林中跨域资源访问
两种方式实现跨域访问
使用账户登录账户域计算机,通过网络访问资源域的 资源 使用账户域账户在资源域计算机上登录从而访问资源 域资源
AGDLP含义
将用户账户加入全局组 将全局组加入本地域组 给本地域组赋权限
使用AGDLP简化了权限的管理
10
林之间的信任
林之间的信任分为外部信任与林信任 外部信任是指在不同林的域之间创建的不可传递的信任 创建外部信任需要两个域能互相解析对方
20
创建林信任
创建林信任与创建外部信任方法类似
不同的是需要升级林功能级别为Windows Server 2003或更高:提升林功能级别方法如下
教员演示操作过程
21
Hale Waihona Puke 建林信任方法同外部信任22
林间跨域访问资源
与林内跨域访问一样,还需设置正确访问权限 才能成功访问资源 应用AGDLP规则
被信任域的帐户加入到被信任域的全局组 被信任域的全局组加入到信任域的本地域组 给信任域的本地域组设置权限
创建两个域之间的信任关系
做的时候一定要慢啊,要不然是不会做成功的,因为全局数据库没有创建完整。还有DNS也很重要哦。
创建两个域之间的信任关系:
1。先在DNS里面新建一个标准的辅助区域,里面的域名是填对方的域名,然后填写对方的IP(配置完成后)。配制完成后会出现一个错误,是因为数据没有同步。你再在创建的域上--右键--从主服务器传送(多刷新几次再等等就好了)。
2。在 directory域和信任关系里面的域--属性--信任,现在才开始配置信任关系顺序一定要是1上(A)2下(A)3上(B)4下(B)(你填写的密码是什么,那么一会儿对方也要填写你设置的密码)(A和B分别表示密码)
3。你设置NTFS许可的时候就在安全那里选择其他的域(!!!注意,一定要慢慢做,因为全局目录正在建立数据库,不然你就没有办法设置NTFS权限)一般在开机的时候等15分钟,开了机再等15分钟。。注意啊!!!!
4。2000里面的全局目录很容易坏,但是2000又不知道用活动目录去验证,所以要备份。2003里面做了修改。
windows高级应用AD_03_信任关系
User User User Accounts Accounts Accounts
Global Global Domain Local Global Domain Local Local Groups Groups Groups Groups Groups
Permissions Permissions Permissions
A
A
User Accounts
G
G
Global Groups
U
U DL
DL
P
Permissions
Local Groups
Group strategies:
DL G AGP A DL P DL A GLDL P A G U DL P A GP P L P P
A A
A P
A
G
G G L
18
委派管理
19
11
域组的作用域
从组的作用域来看,Windows Server 2003域内 从组的作用域来看, 2003域内 的组分为以下3 的组分为以下3种:
通用组(universal group) 全局组(global group) 域本地组(domain local group)
12
通用组:可以指派所有域 中的访问权限,其成员能够包含整个域目 录林这任何一个域内的用户、通用组、全局组。但不能包含任何一个 域内的本地域组。可以访问任何一个域中的资源。在所有域(域功能 级别必须是2000纯模式或是server2003)可以设置使用权限。可以 被换成域本地组或是全局组(只要该组内成员不包含通用组) 全局组:主要用来组织用户。其成员能够包含与该组相同域中的用户 和全局组。可以访问任何一个域中的资源。可以在所有域里设置使用 权限。可以被换成通用组(只要些组不属于任何一个全局组) 域本地组:主要用来指派在其所属域内的访问权限。能够包含任何一 个域内的用户、通用组、全局组;还能够包含同一个域内的本地域组; 但是,它无法包含其他域内的本地域组。只能够访问同一个域内的资 源,无法访问其他不同域内的资源。只能在所属内设置使用权限。可 以被换成通用组(只要此组内成员不含域本地组)
域的信任关系
域的信任关系什么是信任关系信任关系是用于确保一个域的用户可以访问和使用另一个域中的资源的安全机制。
根据传递性分,信任关系可分为可传递信任关系和不可传递信任关系。
根据域之间关系分,WINDOWS信任关系可分为四种。
1.双向可传递父子信任关系2.树与树之间的双向可传递信任关系3.同一个森林两个域之间的快捷方式信任关系4.外部信任关系,建立不同的域或者不同的森林。
WINDOWS域和非WINDOWS域,NT域2000域。
一般都是不可传递的单向信任关系。
5.森林信任,2000的森林信任关系是不可传递的。
信任仅仅存在与森林根域之间。
2003的信任是双向可传递的信任关系。
只要在根域创建了森林信任。
域里面的所有用户都建立了信任关系。
创建信任关系的考虑,1.域中有一定量用户要求长期访问某个域中的资源。
2.由于安全理由,区分了资源域和账号域3.部分信任关系默认存在。
4.处于减少上层域DC/GC压力,可创建快捷方式信任关系站点简介◆站点是一个物理概念◆定义处于同一个物理区域的一个或多个子网中的用户对象。
◆优化用户登陆,访问◆优化AD复制站点连接站点内用更新宣告的方式来获取更新,传输是非压缩的传输,占用的带宽和数据量比较大。
站点之间使用站点连接器进行复制,可以设置复制时间和复制间隔,占用多少带宽和采用什么样的协议等。
可以设置开销和复制时间,值越小,优先级别越高。
部署站点的最佳实践。
根据复制需求来定制站点间的复制间隔和复制时间。
对于大环境,建议关闭ITSG,手动配制复制链接AD排错工具Enable NDSI diagnostics log获取详细的底层信息修改注册表MACHINE\system\current conti \services\ntds\diagnostcs取值范围:0——3调整目录服务日志的大小,以便存放产生的日志其他工具DCDIAG分析域控制器的状态针对域控制器特定的功能执行测试NETDOM管理和检查信任关系确认数据库复制是否正常NETDIAG进行网络功能的诊断NETDIAG /VNETDIAG /DEBUG >netdag.txt输出详细的网络信息到TXT文件然后用NETPAD (纪事本)打开DNS与AD活动目录DNS服务器在AD中,除了提供名称格式的支持服务。
信息安全域间互信机制
信息安全域间互信机制信息安全领域中,域间互信机制是确保不同系统、组织或单位之间安全通信和合作的重要手段。
通过建立相互信任的机制,有助于防止未经授权的访问、数据泄露或其他安全威胁。
在实际应用中,信息安全域间互信机制需要考虑以下几个方面:首先,身份验证与认证是构建域间互信机制的基础。
确保通信双方的身份是真实可靠的,避免假冒或伪装,是保障信息安全的首要任务。
通常采用数字证书、令牌或多因素身份验证等手段来实现,保证通信双方的身份真实可信。
其次,数据加密与传输的安全性也是域间互信机制中不可或缺的一环。
通过对数据进行加密处理,可以在数据传输过程中防止被窃取、篡改或劫持。
同时,确保数据传输通道的安全性也是重要的,可以采用SSL/TLS协议等安全传输协议来保障数据传输的安全性。
另外,权限控制与访问管理是域间互信机制的重要组成部分。
不同系统、组织或单位之间需要明确权限管理规则,确保只有经过授权的用户才能访问相应的资源或数据。
通过建立访问控制策略,控制权限范围和操作权限,可以有效防止未经授权访问和数据泄露。
此外,监控和审计也是域间互信机制中必不可少的环节。
及时监控系统运行状态和网络流量,发现异常情况或安全事件时及时作出响应,是保障信息安全的关键措施。
同时,定期进行安全审计和漏洞扫描,发现潜在安全风险并及时修补,有助于提高系统的安全性。
最后,建立安全事件响应机制也是域间互信机制的重要内容。
面对安全事件的发生,及时响应并采取措施进行处理,可以最大程度地减少安全风险带来的损失。
建立安全事件响应团队、制定应急预案,并进行定期演练,有助于提高安全事件应对的能力和效率。
总之,信息安全域间互信机制是保障网络安全的重要手段,通过建立相互信任的机制,可以有效防范各类安全威胁,确保信息系统的安全稳定运行。
同时,需要综合考虑身份认证、数据加密、权限控制、监控审计和安全事件响应等方面,全面提高信息安全防护的水平,促进信息安全技术的不断进步和应用。
单向外部域信任关系的创建与验证示例
单向外部域信任关系的创建与验证示例本节介绍的是不同林中两个Windows Server 2003域之间的单向外部信任关系的创建,因为在同一林中的Windows Server 2003各域之间是默认建立起了双向可传递信任了的,所以无需另外创建,但可以删除它们之间的默认信任关系。
下面以创建一个林中的根域单向信任位于lycb.local林下的BeiJing.lycb.local子域的单向信任创建为例进行介绍。
前面介绍到,信任关系的创建可以在信任域与被信任域双方各运行一次信任创建向导,各自创建自己一方的信任(在各域管理员只拥有自己域适当管理凭据时),也可以只在任意一方运行向导一次,同时创建双方的信任(在你同时拥有双方域适当管理凭据时)。
本节先以在信任域与被信任域双方各运行一次信任创建向导为例进行介绍。
具体创建步骤如下:【经验之谈】要创建两个域间的信任,必须在一个DNS服务器上为两个域创建不同区域,或者在两个域的不同DNS服务器属性对话框中配置指向对方的转发器,如图2-23和图2-24所示;如果两个域中的DNS区域分属于不同DNS服务器时,则还可以在各自的DNS服务器上为对方域创建辅助DNS区域,以便能相互解析(注意,创建辅助DNS区域与配置转发器,只能选择一种)。
有关辅助DNS区域的创建方法参见本系列中级认证教材——《金牌网管师——中小型企业网络组建、配置与管理》一书。
图2-23 BeiJing.lycb.local域DNS服务器配置的转发器图2-24 域DNS服务器配置的转发器1. 在BeiJing.lycb.local子域(被信任方)上创建单向信任关系在本示例中,信任域是,被信任域是BeiJing.lycb.local。
因为本节假设要在介绍在双方各运行一次信任创建向导的信任创建方式,可以在信任的任意一方先进行信任关系创建,只是要注意不同方的信任方向选择不同。
在此以先在被信任域的DC创建上信任关系为例进行介绍。
双域互相信任实验
双域互相信任实验:
这是一个单向信任,afopcn 域信任id57demo 的用户,使id57 域内用户可以在 内登陆。
实验拓扑:
<<AD trust.vsd>>
实验目的:windc-2 被信任,客户端可以通过CitrixDDC 使用id57demo 域的账号登陆并使用App。
Tips:两个域要相互能够找到对方,需要在各自的DNS 上建立转发。
实验步骤:
1,windc-2 建立传入信任
打开“AD 域和信任关系”,
选中域,右键,属性,新建信任,下一步
输入,下一步
选择外部信任,下一步
信任方向,选择单向:内传,下一步
——内传的含义根据图中的解释很容易理解,也可以这样理解更容易:该域的账户验证信息发往本域的DC进行验证,所以是内传。
只是这个域,下一步
输入一个信任密码,下一步
两次下一步
确认传入信任,选择否,不确认传入信任。
可以等到 建立好以后再做确认。
2, 建立信任关系
建立过程参照上面的过程:
外传的含义:
外域的验证请求由登录的本域主机向外发出,到外域做验证,所以是外传。
可以直接选择确认传出信任,下一步
完成
确认
查看结果
3,验证
回到 主机,属性,
输入 的管理员密码进行验证。
确认
4,接入测试
Win7客户机是加入 的一台client,尝试使用id57demo 域内用户登录
可以正确登录
测试成功。
###。
域的信任建立
您可以在基于Windows NT 的域和基于Windows 2000 的域之间创建下面两种信任关系之一:•Windows NT 信任Windows 2000•Windows 2000 信任Windows NT您必须使用管理员帐户登录到这两个域的域控制器才可创建信任。
无论创建哪一种信任关系,都应先在信任域上创建信任,然后在受信任域上创建。
Windows NT 信任Windows 2000要创建基于Windows NT 的域信任基于Windows 2000 的域的信任关系,请按照下列步骤操作:1. 在基于Windows NT 的主域控制器(PDC) 上:a. 单击“开始”,指向“程序”,指向“管理工具”,然后单击“域用户管理器”。
b. 在“策略”菜单上,单击“信任关系”。
c. 单击与“受信任域”框相对应的“添加”按钮。
即会出现“添加受信域”对话框。
d. 在“域”框中,键入基于Windows 2000 的域名称,不要带 .com 扩展名。
例如,如果基于Windows 2000 的域是,则键入Microsoft。
e. 在“密码”框中,键入信任的密码。
注意:在信任域和受信任域的域控制器上必须使用同一个信任密码。
f. 单击“确定”。
此时会出现下面的消息,其中Windows2000-based domain name是基于Windows 2000 的域的名称,Windows NT-based domain name是Windows NT 域的名称:此时无法验证信任关系。
如果发现它未被建立,请与Windows 2000-based domain name域的管理员联系并验证在信任域的列表中是否包含Windows NT-based domain name。
g. 单击“确定”。
基于Windows 2000 的域会列在“受信任域”列表中。
h. 在“信任关系”对话框中,单击“关闭”。
2. 在基于Windows 2000 的域控制器上:a. 单击“开始”,指向“设置”,然后单击“控制面板”。
域的信任关系
域的信任关系什么是信任关系信任关系是用于确保一个域的用户可以访问和使用另一个域中的资源的安全机制。
根据传递性分,信任关系可分为可传递信任关系和不可传递信任关系。
根据域之间关系分,WINDOWS信任关系可分为四种。
1.双向可传递父子信任关系2.树与树之间的双向可传递信任关系3.同一个森林两个域之间的快捷方式信任关系4.外部信任关系,建立不同的域或者不同的森林。
WINDOWS域和非WINDOWS域,NT域2000域。
一般都是不可传递的单向信任关系。
5.森林信任,2000的森林信任关系是不可传递的。
信任仅仅存在与森林根域之间。
2003的信任是双向可传递的信任关系。
只要在根域创建了森林信任。
域里面的所有用户都建立了信任关系。
创建信任关系的考虑,1.域中有一定量用户要求长期访问某个域中的资源。
2.由于安全理由,区分了资源域和账号域3.部分信任关系默认存在。
4.处于减少上层域DC/GC压力,可创建快捷方式信任关系站点简介◆站点是一个物理概念◆定义处于同一个物理区域的一个或多个子网中的用户对象。
◆优化用户登陆,访问◆优化AD复制站点连接站点内用更新宣告的方式来获取更新,传输是非压缩的传输,占用的带宽和数据量比较大。
站点之间使用站点连接器进行复制,可以设置复制时间和复制间隔,占用多少带宽和采用什么样的协议等。
可以设置开销和复制时间,值越小,优先级别越高。
部署站点的最佳实践。
根据复制需求来定制站点间的复制间隔和复制时间。
对于大环境,建议关闭ITSG,手动配制复制链接AD排错工具Enable NDSI diagnostics log获取详细的底层信息修改注册表MACHINE\system\current conti \services\ntds\diagnostcs取值范围:0——3调整目录服务日志的大小,以便存放产生的日志其他工具DCDIAG分析域控制器的状态针对域控制器特定的功能执行测试NETDOM管理和检查信任关系确认数据库复制是否正常NETDIAG进行网络功能的诊断NETDIAG /VNETDIAG /DEBUG >netdag.txt输出详细的网络信息到TXT文件然后用NETPAD (纪事本)打开DNS与AD活动目录DNS服务器在AD中,除了提供名称格式的支持服务。
域和信任关系的步骤
域和信任关系的步骤嘿,咱今儿就来说说域和信任关系的那些事儿哈!你想啊,域就像是一个大家庭,里面有好多成员呢。
而信任关系呢,那就是让这些家庭成员能够和谐相处、互相帮忙的纽带呀!那要建立起这重要的信任关系,都有啥步骤呢?首先得有个明确的目标吧。
咱得知道为啥要建立这个信任关系,是为了让工作更顺畅呀,还是为了大家能更好地合作呀。
就像你盖房子,总得先想好要盖个啥样的房子,对吧?然后呢,得相互了解呀。
大家得知道彼此的脾气、性格、能力啥的。
这就好比交朋友,你不了解人家,咋能放心跟人家好呢?比如说,一个人做事老是不靠谱,那你能轻易信任他吗?肯定不能呀!再接着,得有实际行动来证明呀。
光嘴上说信任可不行,得用行动来表示。
比如说,把重要的任务交给对方,或者在关键时刻支持对方。
这就跟谈恋爱似的,光说我爱你可不够,得有实际的关心和照顾呀。
还有哦,要保持沟通。
有啥想法、问题都及时说出来,别憋在心里。
不然小问题也会变成大问题,那信任不就容易出裂痕啦?就像牙齿里卡了个东西,不及时弄出来,最后可能会牙疼得要命呢!建立信任关系可不是一朝一夕的事儿,得慢慢来。
就像种一棵树,你得精心呵护,给它浇水、施肥,它才能茁壮成长呀。
而且这过程中还可能会遇到风雨,这就需要大家一起努力去维护啦。
想想看,如果域里没有信任关系,那会是啥样?大家都互相猜疑,工作能做好吗?肯定不行呀!所以说,建立信任关系太重要啦!咱再往深了想想,在生活中不也是这样吗?和家人、朋友之间也得有信任呀。
要是你连家人都不信任,那生活得多累呀。
信任就像阳光,能让我们的生活变得温暖、明亮。
总之呢,建立域和信任关系需要我们一步一个脚印地去做,不能着急,也不能马虎。
只有这样,我们才能在这个大家庭里愉快地相处,共同进步呀!大家说是不是这个理儿呢?。
AD域信任关系
实验名称:域信任关系实验目标:通过本实验,应掌握以下技能:建立快捷信任建立林信任建立外部信任实验任务:1) 建立一个林中两个域的快捷信任; 2)建立林和林的林信任;3)建立域和的外部信任实验拓扑:实验前的准备:1. 建立域的信任,需要是Domain Admins 或Enterprise Admins组的成员任务一建立一个林中两个域的快捷信任建立林中两个域和的快捷信任1.在域的域控制器计算机上,打开“开始”“程序”“管理工具”“Active Directory 域和信任关系”2.在控制台树中,展开 ,右键单击要建立快捷信任的域的域节点,然后单击“属性”。
3.单击“信任”选项卡上的“新建信任”,然后单击“下一步”。
4.在弹出的“新建信任向导”中,单击“下一步”按钮,在“信任名称”页,键入域的 DNS 名()或 NetBIOS 名称(sale),然后单击“下一步”。
5. 在“信任方向”页面,选择“双向”,表示两个域中的用户可以相互访问对方的资源,单击“下一步”按钮。
6.选择“这个域和指定的域”,表示同时在两个域中建立信任关系,但需要有指定域的,单击“下一步”按钮。
7. 输入指定域中有信任创建特权的用户名和密码。
单击“下一步”按钮。
8. 显示已创建好的信任关系,单击“下一步”按钮。
9. 信任创建成功,单击“下一步”按钮。
10. 询问是否要确认传出信任和传出信任,选取后单击“下一步”按钮。
11. 完成新建信任的创建,单击“完成”按钮。
12. 可以在属性的“信任”选项卡中看到刚创建的信任。
13. 同样可以在属性的“信任”选项卡中看到刚创建的信任。
任务二建立和的林信任创建林信任前的准备:1.两个林之间可以通过DNS服务器来找到另一方林根域的控制器。
如果两个林根域不共享同一台DNS服务器,可以通过“条件转发器”的方式来实现。
2.确定两个林中所有的域功能级别是windows 2000纯模式或windows2003模式,“林功能级别”都升级为“Windows Server2003”1.在域的域控制器计算机上,打开“开始”“程序”“管理工具”“Active Directory 域和信任关系”2.在控制台树中,右键单击林根域的域节点,然后单击“属性”。
域林之间的信任关系
域林之间的信任关系使用WIN2003创建的AD(域林)中的各个域之间的信任关系默认就是双向信任可传递的。
那么,如果企业的应用中如果出现了两个林或更多的林时,还要进行相互的资源访问时,我们该怎么办?因为默认只是同在一个域林中才能双向信任可传递,两个域林(AD)间没有这个关系,那么就需要我们手动来配置域林之间的信任关系,从而来保证不同域林中的资源互访。
比如说企业之间的兼并问题,两个公司之前都使用的是MS的AD来管理,那么大家可想而知这两家企业之前肯定是两个域林,那么现在兼并后,如何让这两个域林之间能够建立信任关系吗?都有什么方法呢?那今天我们就来学习一下如何创建域林之间的信任关系! 在一个林中林之间的信任分为外部信任和林信任两种:⑴外部信任是指在不同林的域之间创建的不可传递的信任⑵林信任是Windows Server 2003林根域之间建立的信任,为任一域林内的各个域之间提供一种单向或双向的可传递信任关系。
1. 创建外部信任创建外部信任之前需要设置DNS转发器:在两个林的DC之间的DNS服务器各配置转发器:在域中能解析,在域中能解析⑴首先我们在域的DC上配置DNS服务器设置转发器,把所有域的解析工作都转发到192.168.6.6这台机器上:配置后DNS转发后去PING一下,看是否连通,如果通即可:然后再在另一个域中的DC的DNS服务器也同样设置DNS转发,把的转发到192.168.6.1的机器上来:同样PING一下,看是否能PING通:⑵准备工作做好后,就开始创建外部信任:首先在域的DC上打开"AD域和信任关系"工具,在域的"属性"中的"信任"选项卡:单击"新建信任":输入信任名称(这里要注意是你这个域要信任的域):选择"单向:外传":双向:本地域信任指定域,同时指定域信任本地域单向:内传:指定域信任本地域(换句话说就是,你信任我的关系)单向:外传:本地域信任指定域(例如,域信任域,我信任你的关系)注意:由于信任关系是在两个域之间建立的,如果在域A(本地域)建立一个"单向:外传"信任,则需要在域B(指定域)必须建立一个"单向:内传"信任.但如果选择了"这个域和指定的域"单选按钮,就会在指定域自动建立一个"单向:内传"的信任!输入指定域中有管理权限的用户名和密码:⑶创建完成后,验证方法可以使用:在域的DC上查看信任关系:在域的DC上查看信任关系:还有一种验证方法就是被信任域的用户可以到信任域的计算机上登录,在信任域的计算机上的登录对话框中有被信任域名,说明可以输入被信任域的帐户登录(前提是要赋予该帐户登录的权限):但是否能登录还是要看权限,因为默认情况下是不能登录到DC的,那么在本地域的"域控制器安全策略"中打开"安全策略-"本地策略"-""用户权限分配"-"允许在本地登录"中添加被信任域的管理员即可!⑷林之间的外部信任的特点:手工建立林之间的信任关系需要手工创建信任关系不可传递林中的域的信任关系是不可传递的例如,域A直接信任域B,域B直接信任域C,不能得出域A信任域C的结论信任方向有单向和双向两种单向分为内传和外传两种内传指指定域信任本地域外传指本地域信任指定域⑸创建好林中的信任关系后可以进行跨域访问资源应用AGDLP规则实现跨域访问具体规则是:①被信任域的帐户加入到本域的全局组②被信任域的全局组加入到信任域的本地域组③给信任域的本地域组设置权限2. 创建林信任外部信任为不同域之间跨域访问资源提供了方法,但如果两个林中有许多域,要跨域访问资源就需要常见很多个外部信任,有没有简单方法呢?当然是有的,那就是只用在林根域之间建立林信任就不需要创建多个外部信任,因为林信任是可传递的。
23.多域和信任关系
多域和信任关系本资料由-大学生创业|创业|创业网/提供资料在线代理|网页代理|代理网页|减肥药排行榜|淘宝最好的减肥药|什么减肥药效果最好|减肥瘦身药|林、域树和子域•这3 个选项应选择哪个域树与子域•域树是共用连续域名空间的Windows 域•向域树中添加的任何新域都叫做子域林•单个域树或者多个域树构成林•林中的不同域树不共用连续的域名空间 域树域树林林的根域•在林中创建的第一个域叫做林的根域•林的根域存在两个预定义的组–Enterprise Admins –Schema Admins企业管理组:可以对活动目录中整个林作修改,例如添加子域架构管理组:可以对活动目录中整个林作架构修改创建林、域树和子域•安装DC 应具备的条件•创建林•创建域树•创建子域安装DC 应具备的条件•安装者必须具有本地管理员权限•操作系统版本必须满足条件•本地磁盘至少有一个分区是NTFS 文件系统•有TCP/IP 设置(IP 地址、子网掩码等)•有相应的DNS 服务器支持•有足够的可用空间创建林创建子域创建林中域树在一个林中创建多个域的原因•部门(或分公司)之间有不同的密码要求,可以针对部门(或分公司)创建域•有大量的活动目录对象,可以分解成多个域,使每个域活动目录对象较少•分散的网络管理,而不是由一个域管理员管理,多个域意味着有多个域管理员•对复制进行更多的控制信任关系的介绍•信任关系•信任关系的类型–父-子信任–树根信任–林信任–外部信任–快捷方式信任–领域信任 Unix域林A林B父-子信任树根信任父-子信任林信任父-子信任外部信任快捷方式信任领域信任信任帐户域资源域访问资源•林中的默认信任关系的特点•自动建立•林中的域之间的信任关系是在创建子域或者域树时自动创建的•传递信任•林中的域的信任关系是可传递的•如域A 直接信任域B,域B直接信任域C,则域A 信任域C•双向信任•在两个域之间有两个方向上的两条信任路径•例如,域A 信任域B,域B 信任域A查看信任关系•树根信任:在同一个林中的两个域树之间父子信任:在同一个域树中父域和子域之间林中跨域访问•AGDLP 规则的含义–1)将用户账户加入全局组–2)将全局组加入本地域组–3)给本地域组赋权限•本例中实现跨域访问的具体步骤–1)将user1、user2、user3 加入到全局组global1–2)将abc 域的全局组加入到bj 域的本地域组local1–3)在share 文件夹的【安全】和【共享】属性中给local1 设置权限–4)user1、user2、user3 访问文件夹share林之间的信任•林之间的信任分为外部信任和林信任•外部信任是指在不同林的域之间创建的不可传递的信任•林信任是Windows 2003 林根域之间建立的信任–为任一林内的各个域之间提供一种单向或双向的可传递信任关系创建外部信任•创建外部信任之前需要设置DNS 转发器–在contoso 域中能解析 –在abc 域中能解析信任帐户域资源域演示:创建外部信任在本次演示中,你将看到如何创建外部信任关系验证信任关系信任类型为外部•可传递性为否•信任域(资源域)的登录对话框外部信任的特点•手工建立–林之间的信任关系需要手工创建•信任关系不可传递–林中的域的信任关系是不可传递的–例如,域A 直接信任域B,域B 直接信任域C,不能得出域A 信任域C 的结论•信任方向有单向和双向两种–单向分为内传和外传两种–内传指指定域信任本地域–外传指本地域信任指定域跨域访问资源•应用AGDLP 规则实现跨域访问•具体规则是–1)被信任域的帐户加入到本域的全局组–2)被信任域的全局组加入到信任域的本地域组–3)给信任域的本地域组设置权限林信任•林信任的意义–如果两个林中有许多域,要跨域访问资源就需要创建很多个外部信任–在林根域之间建立林信任就不需要创建多个外部信任,因为林信任是可传递的•创建林信任与创建外部信任方法类似–不同的是需要升级林功能级别为Windows Server 2003林信任的特点•林功能级别为Windows Server 2003 才能创建•只有在林根域之间才能创建•在建立林信任的两个林中的每个域之间的信任关系是可传递的,但这种信任关系不会传递到第三个林•信任方向有单向和双向两种•要创建林信任关系,林功能级别必须是Windows Server 2003 模式新建信任关系时可以选择外部信任或林信任演示:创建林信任关系在本次演示中,你将看到如何创建林信任关系CONTOSO 林ABC 林你是Fabricam 公司的高级域管理员,公司网络由一个名为 的单一活动目录域组成,域中包含了20 台服务器和300 台客户端计算机。
4.3.2 活动目录域和信任关系[共2页]
![4.3.2 活动目录域和信任关系[共2页]](https://img.taocdn.com/s3/m/d8f26da2f46527d3240ce0f3.png)
项目4 域与活动目录的管理建对象—组织单元”对话框中,输入组织单元名称,单击“确定”按钮即可。
4.3.2 活动目录域和信任关系众所周知,任何一个网络中都可能存在两台甚至多台域控制器,而对于企业网络而言更是如此,因此域和域之间的访问安全自然就成了主要问题。
Windows Server 2008的活动目录为用户提供了信任关系功能,可以很好地解决这些问题。
1.信任关系信任关系是两个域控制器之间实现资源互访的重要前提,任何一个Windows Server 2008域被加入到域目录树后,这个域都会自动信任父域,同时父域也会自动信任这个新域,而且这些信任关系具备双向传递性。
由于这个信任关系的功能是通过所谓的Kerberos安全协议完成的,因此有时也被称为Kerberos信任。
有时候信任关系并不是由加入域目录树或用户创建产生的,而是由彼此之间的传递得到的,这种信任关系也被称为隐含的信任关系。
2.创建信任关系当网络中有多个不同的域,想要让每个用户都可以自由访问网络中的每台服务器(不管用户是否属于这个域)时,域之间需要创建信任关系。
在前面的章节中,已创建了一个域,主域计算机名为Win2008,TCP/IP地址为192.168.1.27,现在再创建一个域,主域计算机名为Win2008-N,TCP/IP地址为192.168.1.32。
下面就以这两个域为例,介绍信任关系的创建。
创建信任关系时,首先在计算机Win2008-N 上进行操作,具体操作步骤如下。
(1)单击“开始”→“管理工具”→“Active Directory域和信任关系”,从主窗口中右键单击ycdata. com域名,从出现的菜单中选择“属性”,打开“域属性”窗口,接着单击“信任”标签,打开如图4-53所示的“信任”选项卡。
由于当前域尚未与其他任何域建立信任关系,所以此时列表为空。
(2)单击“新建信任”按钮,打开“新建信任向导”,单击“下一步”按钮,进入如图4-54所示的“信任名称”窗口,在“名称”文本框中输入要与之建立信任关系的NetBIOS名称或者DNS 名称,这里为“”。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
维护活动目录维护活动目录议程:维护活动目录介绍备份活动目录数据库恢复活动目录数据库一、维护活动目录介绍二、备份活动目录数据库1、活动目录数据库备份操作为了避免活动目录数据库失效而引起的错误,因此当活动目录正常工作时,需要对活动目录进行备份。
不能对活动目录单独备份,只能通过备份系统状态对活动目录进行备份。
系统状态组件组件描述活动目录活动目录信息,只存在于DC的系统状态数据中系统启动文件Windows server 2003操作系统启动时使用com+类注册数据库类注册数据库是关于组件服务应用程序的数据库注册表存储了该计算机的配置信息SYSVOL有关组策略模板和日志命令的共享文件夹信息认证服务数据库当Windows server 2003计算机是认证服务器时用来验证用户身份的信息2、备份活动目录数据库时的注意事项注意事项如下:# 须具有备份权限。
默认情况下,管理员组、备份操作员组和服务器操作员组具有备份的权限。
# 活动目录不能单独备份,只能作为系统状态的一部分进行备份,而且只有DC上的系统状态才包括活动目录数据。
# 在DC联机时执行活动目录备份。
3、恢复ad数据库# 修改目录服务还原模式的administrator密码# 执行常规恢复# 执行授权恢复(1)要想恢复活动目录必须重新启动DC,在启动过程中按F8键进入高级选项菜单,然后选择“目录服务还原模式”。
在目录服务还原模式下活动目录是不能被使用的,因此可以对其进行恢复。
(2)修改目录服务还原模式的administrator密码进入目录服务还原模式后,只有administrator帐号才可以登录。
此时需要提供在安装活动目录过程中指定的目录服务还原模式的administrator的密码。
而不是正常登录时的密码。
这个密码如果忘记怎么办?2003平台支持对该密码的修改,在2000中就回天无力了DEMO1:如何修改目录服务还原模式下的密码:三、恢复活动目录的方法1、常规恢复利用常规恢复方式可以把活动目录恢复到备份之前的状态,恢复完成后再与网络中现有的DC执行活动利用常规恢复方式可以把活动目录恢复到备份之前的状态,恢复完成后再与网络中现有的DC执行活动目录的复制,进行数据更新。
当要把一台DC恢复到备份之前的正常状态时执行常规恢复。
常规恢复也称为非授权恢复。
常规恢复一般用于恢复由于硬件失败而造成的活动目录损坏。
2、授权恢复授权恢复要在常规恢复之后进行,其作用是在活动目录中利用多个DC恢复域中的单个活动目录对象。
授权恢复用于恢复一个因错误地删除了某个对象而造成的活动目录损坏,但授权恢复不能用于恢复架构的更改。
在执行授权恢复时需要标注一个对象为授权,这时它在活动目录中拥有最高的版本号。
版本号是从1开始,随着活动目录数据库的更新而增长。
默认的情况下标注为授权的对象版本号,在备份发生时间到恢复发生时间之间每天增长100000。
利用增长版本号可以确保该对象与其它DC上的记录进行复制时,授权对象可以取代备份后任何更新的值。
demo(1)常规恢复当前域dc及其额外dc与主恢复不同,由于域中还有其它DC,执行常规恢复后需要与其它DC进行同步。
(2)执行授权恢复域信任关系基本概念域是安全边界,若无信任关系,域用户帐户只能在本域内使用。
信任关系在两个域之间架起了一座桥梁,使得域用户帐户可以跨域使用。
确切地说就是:信任关系使一个域地DC 可以验证其他域的用户,这种身份验证需要信任路径。
例如:A 域与B 域没有信任关系,A 域上的员工使用自己在A 域的帐户,将不能访问B 域上的资源。
一.什么是信任, 为什么要在域之间建立信任关系?总之,两个域之间只有建立适当的信任关系后才可以实现互相访问,这就像两个国家之间要进行友好往来需要建立外交关系一样。
二.信任的方向信任是有方向的,信任的方向决定了资源访问的方向。
例如,如果a 域信任b 域,那么b 域中的用户就可以访问a 域中的资源。
在window server 2003中默认建立的信任关系都是双向的,手工建立的则可以根据访问需要建立单项或双向的信任关系。
有一个信任关系:A 域信任B 域,其中A 域是信任域,B 域是受信任域,这个信任关系指明B 域是受A 域信任的域,即B 域的用户帐户可以访问A 域的资源(在拥有相应权限的前提下)。
从这里我们可以看出,信任关系具有方向性,这个信任关系是单向信任,B 域的用户可以访问A 域的资源,但A 域的用户还不能访问B 域的资源。
还有一种信任关系:A 域和B 域之间的双向信任(A 域信任B 域,且B 域信任A 域),在这种信任关系下,A 域和B 域的用户帐户都能访问对方域的资源,因为这两个域都得到了对方域的信任。
所有信任关系中只能有两个域:信任域和受信任域。
信任根据它的传递性可以分为可传递的和不可传递的。
如果A 域和B 域之间的信任是可传递的,B 域和C 域之间的信任也是可传递的,那么A 域和C 域之间就自动创建了信任关系。
如果A 域和B 域之间的信任是不可传递的,或者B 域和C 域之间的信任是不可传递的,那么A 域和C 域之间不会自动创建了信任关系。
三.信任的传递性四、信任的工作方式目录林中的两棵树之间及每棵树的父域之间都存在双向的信任关系。
如果B 域中的用户要访问Y 域中的资源,用户所在的客户端计算机会先联系B 域的DC 进行资源访问验证,因为要访问的资源不在本域,所以验证的请求会沿着信任的路径传递到资源所在的Y 域,并最终进行资源的访问。
五.信任的类型:默认信任是系统自动建立的信任关系,不需要我们通过配置建立信任。
默认信任有以下几种:父子信任:在森林中,父子域之间存在的信任关系,称为父子信任,在默认情况下,当现有域树中添加新的子域时,将自动建立父子信任关系。
这种信任是双向的可传递的信任关系。
(1)域间(树根)信任关系:在森林中两棵树之间存在的信任关系,称为域间信任关系,在一个森林中建立第二棵树的时候将自动创建一新的树根信任关系。
这个信任是双向的可传递的。
(2)1.默认信任快捷信任:在同一个森里的两棵树中的两个子树,默认的信任关系是通过信任关系的传递完成的信任,例如, 信任, 信任(1)以下几种信任关系不是系统自动创建的,需要我们手动创建,把它们归为“其他信任”。
2.其他信任域信任关系关系的传递完成的信任,例如, 信任, 信任,则 信任 ,但是这个信任是的路径很长,在访问的时候,造成网络流量的增加和访问速度的变慢,访问效率低下。
我们可以建立 和 之间的快捷信任,来提高访问效率。
外部信任:构建在两个不同的森林或者两个不同的域(一个是windows2000域,一个是windows2003域)之间的信任关系。
这种信任是双向或单向的,不可传递的信任关系。
(2)森林信任:如果在windows server 2003功能级别,可以在两个森林之间创建一个森林信任关系。
这个信任是单向或双向的,可传递的信任关系。
(3)注意:快捷信任是构建在同一个森林的信任关系下的。
这种信任是双向或单向的,可传递的信任关系。
注意:森林信任只能在两个林的根域上建立。
(4)领域信任:不同系统之间创建和使用信任# 验证默认建立的信任关系注:由于信任是双向的,所以可以按方向验证信任关系。
选中“否,不验证传入信任”单选按钮将只验证传出信任;默认建立的信任关系无法删除;# 使用“ad 域和信任”工具创建信任demo1:创建快捷信任单向内传:即传入信任,建立信任后该域的用户可以访问目标域的资源,信任关系将出现在“信任”选项卡的“内向信任”栏中单向外传:即传出信任,建立信任后目标域的用户可以访问本域的资源,信任关系将出现在“信任”选项卡的“外向信任”栏中注意:创建单项信任时,必须在两个域上都创建信任后才可以使用,如在一个域中建立单向内传信任,在另一个域中就要建立单向外传信任。
#创建外部信任#创建林信任实验环境: 和 两个域分别是两个森林的根域,它们不能自动建立信任关系,所以为了能使它们的用户能访问对方域,我们需要手动建立信任关系。
准备工作:1 建立两个域, 和 (实验中的域名使用自己的域名,避免冲突)2 DNS 解析正确。
实验步骤:第一步:在 的域控制器上,打开“Active Directory 域和信任关系”管理器,右击” ”,点击“属性”。
第二步:在 属性对话框中选择“信任”标签页,点击“新建信任”按钮。
进入“新建信任向导”。
第三步:在“名称”下输入你要与之建立信任关系的域的名称。
按“下一步”实验第四步:选择你需要建立的信任的方向性,这里可以选择“双向”。
按“下一步”。
第五步:输入对方域的管理员用户和密码。
按下一步。
第六步:选择身份验证的范围,一般可以选“全域性身份验证”。
按下一步。
第六步:选择身份验证的范围,一般可以选“全域性身份验证”。
按下一步。
第七步:确认要建立的信任,按下一步。
第八步:系统提示成功创建信任关系,按下一步。
第九步:确认在对方域建立信任关系,选择“是”,按下一步。
第十步:确认在对方域建立信任关系,选择“是”,按下一步。
第十一步:完成向导。
第十一步:完成向导。