AD活动目录域信任关系图解
创建两个域之间的信任关系
做的时候一定要慢啊,要不然是不会做成功的,因为全局数据库没有创建完整。还有DNS也很重要哦。
创建两个域之间的信任关系:
1。先在DNS里面新建一个标准的辅助区域,里面的域名是填对方的域名,然后填写对方的IP(配置完成后)。配制完成后会出现一个错误,是因为数据没有同步。你再在创建的域上--右键--从主服务器传送(多刷新几次再等等就好了)。
2。在 directory域和信任关系里面的域--属性--信任,现在才开始配置信任关系顺序一定要是1上(A)2下(A)3上(B)4下(B)(你填写的密码是什么,那么一会儿对方也要填写你设置的密码)(A和B分别表示密码)
3。你设置NTFS许可的时候就在安全那里选择其他的域(!!!注意,一定要慢慢做,因为全局目录正在建立数据库,不然你就没有办法设置NTFS权限)一般在开机的时候等15分钟,开了机再等15分钟。。注意啊!!!!
4。2000里面的全局目录很容易坏,但是2000又不知道用活动目录去验证,所以要备份。2003里面做了修改。
域和信任关系
维护活动目录维护活动目录议程:维护活动目录介绍备份活动目录数据库恢复活动目录数据库一、维护活动目录介绍二、备份活动目录数据库1、活动目录数据库备份操作为了避免活动目录数据库失效而引起的错误,因此当活动目录正常工作时,需要对活动目录进行备份。
不能对活动目录单独备份,只能通过备份系统状态对活动目录进行备份。
系统状态组件组件描述活动目录活动目录信息,只存在于DC的系统状态数据中系统启动文件Windows server 2003操作系统启动时使用com+类注册数据库类注册数据库是关于组件服务应用程序的数据库注册表存储了该计算机的配置信息SYSVOL有关组策略模板和日志命令的共享文件夹信息认证服务数据库当Windows server 2003计算机是认证服务器时用来验证用户身份的信息2、备份活动目录数据库时的注意事项注意事项如下:# 须具有备份权限。
默认情况下,管理员组、备份操作员组和服务器操作员组具有备份的权限。
# 活动目录不能单独备份,只能作为系统状态的一部分进行备份,而且只有DC上的系统状态才包括活动目录数据。
# 在DC联机时执行活动目录备份。
3、恢复ad数据库# 修改目录服务还原模式的administrator密码# 执行常规恢复# 执行授权恢复(1)要想恢复活动目录必须重新启动DC,在启动过程中按F8键进入高级选项菜单,然后选择“目录服务还原模式”。
在目录服务还原模式下活动目录是不能被使用的,因此可以对其进行恢复。
(2)修改目录服务还原模式的administrator密码进入目录服务还原模式后,只有administrator帐号才可以登录。
此时需要提供在安装活动目录过程中指定的目录服务还原模式的administrator的密码。
而不是正常登录时的密码。
这个密码如果忘记怎么办?2003平台支持对该密码的修改,在2000中就回天无力了DEMO1:如何修改目录服务还原模式下的密码:三、恢复活动目录的方法1、常规恢复利用常规恢复方式可以把活动目录恢复到备份之前的状态,恢复完成后再与网络中现有的DC执行活动利用常规恢复方式可以把活动目录恢复到备份之前的状态,恢复完成后再与网络中现有的DC执行活动目录的复制,进行数据更新。
第3章_域和活动目录
(9)单击【下一步】按钮,弹出【共享的系统卷】 向导页。在此指定SYSVOL文件夹的位置
(10)单击【下一步】按钮,系统会自动到DNS服 务器中查找是否有相应的DNS区域。 如果在DNS服务器上有相应的DNS区域并已设置了 区域属性允许动态更新,则立即进行安装。 如果没有相应的DNS区域则出现如图3所示的【DNS 注册诊断】向导页。此选择中【在这台计算机上 安装并配置DNS服务器】,并将这台DNS服务器设 为这台计算机的【首选DNS服务器】单选按钮。
(18)单击【立即重新启动】按钮,重新启动后该计算机就
以域控制器的角色出现在网络中。
把计算机加入、退出域
在系统属性中的计算机名选项卡中的计算机名称更改中进行设 置,把计算机进行工作组与域模式之间的切换,使之能够进入 域和推出域。
删除活动目录
在DC上选择【开始】|【程序】|【管理工具】|【管理 您的服务器】菜单中进行删除活动目录,依次根据提示 进行相应操作。
5)在Windows Server 2003典型的域中,计算机类型有: 运行Windows Server 2003的域控制器:每个域控制器 都存储和维护目录的一个副本。 运行Windows Sever 2003的成员服务器:成员服务器是 没有配置成域控制器的服务器。成员服务器不存储目录信 息,并且不能验证用户的身份。成员服务器提供诸如共享 文件夹或打印机的共享资源。 运行Windows Server 2003或其他操作系统的客户机: 客户机运行用户桌面环境,并且允许用户访问域中的资源。
本章作业
一.练习 1.填空题 (1)网络中计算机逻辑组合的两种模式,即_______和 _______模式。 (2)在域的模式下,_______是最小的安全边界, _______是最小的管理边界。 (3)在Active Directory中所有的对象被组织在一个树 状的层叠结构当中,这个树状结构包括有_______、 _______、_______、_______和_______。 (4)在创建新域时,域的类型有三种,它们分别是 _______、_______和_______。 (5)Active Directory共享系统卷默认的共享文件夹的 路径是_______。
域林之间的信任关系
域林之间的信任关系域林之间的信任关系使⽤WIN2003创建的AD(域林)中的各个域之间的信任关系默认就是双向信任可传递的。
那么,如果企业的应⽤中如果出现了两个林或更多的林时,还要进⾏相互的资源访问时,我们该怎么办?因为默认只是同在⼀个域林中才能双向信任可传递,两个域林(AD)间没有这个关系,那么就需要我们⼿动来配置域林之间的信任关系,从⽽来保证不同域林中的资源互访。
⽐如说企业之间的兼并问题,两个公司之前都使⽤的是MS的AD来管理,那么⼤家可想⽽知这两家企业之前肯定是两个域林,那么现在兼并后,如何让这两个域林之间能够建⽴信任关系吗?都有什么⽅法呢?那今天我们就来学习⼀下如何创建域林之间的信任关系! 在⼀个林中林之间的信任分为外部信任和林信任两种:⑴外部信任是指在不同林的域之间创建的不可传递的信任⑵林信任是Windows Server 2003林根域之间建⽴的信任,为任⼀域林内的各个域之间提供⼀种单向或双向的可传递信任关系。
1. 创建外部信任创建外部信任之前需要设置DNS转发器:在两个林的DC之间的DNS服务器各配置转发器:在/doc/b275bb457cd184254b3535ab.html 域中能解析/doc/b275bb457cd184254b3535ab.html ,在/doc/b275bb457cd184254b3535ab.html 域中能解析/doc/b275bb457cd184254b3535ab.html⑴⾸先我们在/doc/b275bb457cd184254b3535ab.html 域的DC上配置DNS服务器设置转发器,把所有/doc/b275bb457cd184254b3535ab.html 域的解析⼯作都转发到192.168.6.6这台机器上:配置后DNS转发后去PING⼀下/doc/b275bb457cd184254b3535ab.html ,看是否连通,如果通即可:192.168.6.1的机器上来:同样PING⼀下/doc/b275bb457cd184254b3535ab.html ,看是否能PING通:⾸先在/doc/b275bb457cd184254b3535ab.html 域的DC上打开"AD域和信任关系"⼯具,在/doc/b275bb457cd184254b3535ab.html 域的"属性"中的"信任"选项卡:单击"新建信任":输⼊信任名称(这⾥要注意是你这个域要信任的域):选择"单向:外传":双向:本地域信任指定域,同时指定域信任本地域单向:内传:指定域信任本地域(换句话说就是,你信任我的关系)单向:外传:本地域信任指定域(例如,/doc/b275bb457cd184254b3535ab.html 域信任/doc/b275bb457cd184254b3535ab.html 域,我信任你的关系)注意:由于信任关系是在两个域之间建⽴的,如果在域A(本地域)建⽴⼀个"单向:外传"信任,则需要在域B(指定域)必须建⽴⼀个"单向:内传"信任.但如果选择了"这个域和指定的域"单选按钮,就会在指定域⾃动建⽴⼀个"单向:内传"的信任!输⼊指定域中有管理权限的⽤户名和密码:⑶创建完成后,验证⽅法可以使⽤:在/doc/b275bb457cd184254b3535ab.html 域的DC 上查看信任关系:在/doc/b275bb457cd184254b3535ab.html 域的DC上查看信任关系:还有⼀种验证⽅法就是被信任域的⽤户可以到信任域的计算机上登录,在信任域的计算机上的登录对话框中有被信任域名,说明可以输⼊被信任域的帐户登录(前提是要赋予该帐户登录的权限):但是否能登录还是要看权限,因为默认情况下是不能登录到DC的,那么在本地域的"域控制器安全策略"中打开"安全策略-"本地策略"-""⽤户权限分配"-"允许在本地登录"中添加被信任域的管理员即可!⑷林之间的外部信任的特点:⼿⼯建⽴林之间的信任关系需要⼿⼯创建信任关系不可传递林中的域的信任关系是不可传递的例如,域A直接信任域B,域B直接信任域C,不能得出域A信任域C的结论信任⽅向有单向和双向两种单向分为内传和外传两种内传指指定域信任本地域外传指本地域信任指定域⑸创建好林中的信任关系后可以进⾏跨域访问资源应⽤AGDLP规则实现跨域访问具体规则是:①被信任域的帐户加⼊到本域的全局组②被信任域的全局组加⼊到信任域的本地域组③给信任域的本地域组设置权限2. 创建林信任外部信任为不同域之间跨域访问资源提供了⽅法,但如果两个林中有许多域,要跨域访问资源就需要常见很多个外部信任,有没有简单⽅法呢?当然是有的,那就是只⽤在林根域之间建⽴林信任就不需要创建多个外部信任,因为林信任是可传递的。
AD_03_发布对象 委派控制 信任关系
选择Active Directory 对象类型 指定权限给用户和组
委派管理控制
尽可能的在OU上分派控制
使用委派控制向导
跟综委派权限的分派
按所在组织的原则控制委派
Lab :委派管理控制
委派管理控制
1、建个OU1 2、建三个帐号,A1,A2,A3 3、分别以A1,A2,A3登录,查看他们有什么权限 3、将在OU1中创建,修改,删除帐号的权限授于A1 4、导向》直接选择就可以 5、将在整个域中修改密码的权限授予A2 6、导向》自定义》只用于这个文件夹》用户对 象》修改密码
比较发布的对象与共享的资源
• 发布到活动目录中的对象与它所代表的共享资源是完 全分离的
• 删除文件夹共享时,发布仍在。
• 发布是两个对象,而共享是一个对象。发布的两个对 象是一个是共享对象,另一个是AD中的发布对象,这个对 象是对共享对象的引用希望访问发布对象时,必须拥有AD 中发布对象和共享对象两者的权限
Users Properties General Name Everyone Administrators (domain_name\Acct... Authenticated User Objects Security Add... Remove
Allow Full Control
Deny
标准权限
共享的资源
namerica
Accounting
Sales
Name Administrators (NWTRADERS….. Authenticated Users Domain Admins (NWTRADERS… Enterprise Admins (NWTRADER… Pre-Windows 2000 Compatible A…
信任关系的建立
信任关系的建立
学习目标
理解信任关系的基本概念 掌握建立信任关系的方法
信任关系的基本概念
信任关系简介
•创建信任关系:是为了实现不同域之间的资源的相互访 问
信任关系的类型
父子信任
树根信任
森林信任
快捷信任
领域信任
外部信任
信任关系的属性
•信任关系可以是双向 的,也可以是单向的。 •信任关系有些是自动 建立的,有些需要手 工建立 •信任关系有些是可传 递的,有些是不可传 递的
建立信任关系
建立信任关系
建立信任关系
此台域控制器的域名:
建立信任关系
此台域控制器的域名:
建立信任关系
总结与思考
• 有时为什么要建立域之间的信任关系? • 如何建立域之间的信任关系?
递,单向还是双向等
建立域之间的信 任关系,需要在2 台域控制器上分 别进行配置
此台域控制器的 域名:
建立信任关系
建立信任关系
此台域控制器的域名:
ቤተ መጻሕፍቲ ባይዱ
建立信任关系
建立信任关系
建立信任关系
建立信任关系
建立信任关系
建立信任关系
在森林内的信任关系如何工作
树的根域
Domain A
Domain B
树二
森林根域
Domain 1
树一
Domain 2
Domain C
信任关系的建立方法
建立信任关系的步骤
注意:建立域之间的信任关系,需要在这2台域控制器上 分别进行配置 • 打开:“开始”——“管理工具”——“活动目录的域和
信任关系”命令 • 在“新建信任向导”中,输入信任的域的域名 • 在“新建信任向导”中,配置信任关系的属性:是否可传
工作组与域管理模式的对比
工作组与域管理模式的对比一、计算机管理模型企业网络中,计算机管理模式有两种:工作组(WorkGroup):默认方式,每台机器自主管理,各自为政,每台机器的地位对等。
域(Domain):或者称AD活动目录(Active Directory)。
●管理思想:“集中管理”。
●域是安全边界的界定,划分一个相互信任的区域,域控制器(以下简称DC)统一集中管理账号、权限、设置等。
二、域的概念域(AD活动目录)是微软各种应用软件运行的必要和基础的条件。
下图表示出活动目录成为各种应用软件的中心。
实际上我们可以把域和工作组联系起来理解,在工作组上一切的设置在本机上进行,包括各种策略,用户登录也是登录在本机的,密码是放在本机的数据库来验证的。
而如果你的计算机加入域的话,各种策略是域控制器统一设定,用户名和密码也是放到域控制器去验证,也就是说你的账号密码可以在同一域的任何一台计算机登录。
在工作组模式下,计算机处于一个孤立状态,使用计算机的用户登录帐号和计算机的管理均须在每台计算机上创建或进行。
见下图。
当计算机超过20台以上时,计算机的管理变得越来越困难,并且要为用户创建越来越多的访问网络资源的帐号,用户要记住多个访问不同资源的帐号。
而在域的模式下,用户只需记住一个域帐号,即可登录访问域中的资源。
并且管理员通过组策略,可以轻松配置用户的桌面工作环境和加强计算机安全设置。
域模式下所有的域帐号保存在域控制器的活动目录数据库中。
见下图。
Active Directory 协助中大型组织为用户提供可靠的工作环境,它提供最高层级的可靠性和效能,让使用者得以尽可能有效率地将其工作做好,并提供安全和可管理的环境让 IT 员工可以更容易地工作。
使用AD是因为有许多应用程序和服务之前使用不同的用户名/密码,并由每个应用程序来单独管理。
例如,在Windows中,网络、邮箱、远程访问、业务系统、ERP、CRM都有自己的用户名和密码。
使用 Active Directory之后,组织的系统管理员可以将用户加入 Active Directory域,使用同一目录进行单点登录。
活动目录解决方案
活动目录解决方案篇一:活动目录AD解决方案客户现状:现在客户在各地共有4个办公点。
每个点采用的是独立的域环境。
现在客户希望将分散在各地的办公点连接起来,能够实现各地间的访问与共享。
一、客户方案:通过VPN技术实现网络的互联,并通过林间的信任来实现各地间的互相信任,以达到共享与访问。
客户的方案如下:拓扑图如下:由于客户各地点域已经建立,现在需要做的如下: 1、DNS的转发:作用:处理本地没有应答的DNS查询。
方法:每个域内的DNS服务器都需要做到其他域的DNS 转发,以便于DNS的解析。
2、信任关系的建立作用:为了使不同域可以互相访问。
方法:在每台DC的“Active Directory域和信任关系”中建立到不同域的双向信任关系。
在这里建立A,B的相互信任,B,C的相互信任,C,D的相互信任,A,D的相互信任(一但前三个相互信任形成,则第四个A,D的相互信任自动形成。
) 3、 WINS服务器的安装作用:信任域间可以通过主机名称进行访问。
方法:每个域建立独立的WINS服务器,并与其他域内的WINS服务器建立“推/拉”伙伴关系,实现域间WINS服务器的同步。
各域客户端WINS服务器指向本地服务器。
说明:每个域内的DC可以承担包括AD,DNS, WINS在内的服务以节省资源。
二、单域多站点结构方案拓扑图:方案描述如下:所有站点处于同一个域下,每个站点的子网不相同。
在A站点建立主DC服务器,其他站点分别建立额外DC,如, , 实现方法:1. 子网划分:分配各个站点的子网,要求子网不能够相同,比如A站点/24B站点 /24; C站点/24; D站点/242. 主DC的建立:A站点域控制器集成AD与DNS服务,并且在DNS上做转发,实现对外网的访问。
在A站点建立域内主DC,DNS地址指向本地地址。
3. 额外DC的建立:首先DC 的DNS指向主DC的DNS地址。
在新建DC的时候选择创建“额外域控制器”。
建立完成后修改DNS地址为本机地址,并在DNS服务器上做到主DC服务器地址的转发。
双域互相信任实验
双域互相信任实验:
这是一个单向信任,afopcn 域信任id57demo 的用户,使id57 域内用户可以在 内登陆。
实验拓扑:
<<AD trust.vsd>>
实验目的:windc-2 被信任,客户端可以通过CitrixDDC 使用id57demo 域的账号登陆并使用App。
Tips:两个域要相互能够找到对方,需要在各自的DNS 上建立转发。
实验步骤:
1,windc-2 建立传入信任
打开“AD 域和信任关系”,
选中域,右键,属性,新建信任,下一步
输入,下一步
选择外部信任,下一步
信任方向,选择单向:内传,下一步
——内传的含义根据图中的解释很容易理解,也可以这样理解更容易:该域的账户验证信息发往本域的DC进行验证,所以是内传。
只是这个域,下一步
输入一个信任密码,下一步
两次下一步
确认传入信任,选择否,不确认传入信任。
可以等到 建立好以后再做确认。
2, 建立信任关系
建立过程参照上面的过程:
外传的含义:
外域的验证请求由登录的本域主机向外发出,到外域做验证,所以是外传。
可以直接选择确认传出信任,下一步
完成
确认
查看结果
3,验证
回到 主机,属性,
输入 的管理员密码进行验证。
确认
4,接入测试
Win7客户机是加入 的一台client,尝试使用id57demo 域内用户登录
可以正确登录
测试成功。
###。
AD域服务器详细搭建ppt课件
也可省去前面步骤,直接通过“开始”/“运行”,打开“运行”对
话框,输入dcpromo命令,单击“确定”按钮,打开如图5-4所
示的对话框。
可编辑课件PPT
5
5.2.2 安装活动目录(2)
图5-1 “Server 2003配置服务器”窗口 图5-2 显示活动目录内容
可编辑课件PPT
6
5.2.2 安装活动目录(3)
图5-7 指定新域名可编辑课件PPT 图5-8 指定NetBIOS 10
5.2.2 安装活动目录(7)
步骤九,单击“下一步”,打开如图5-9所示的“数据库和日志文件 文件夹”对话框,在“数据库文件夹”文本框中输入保存数据库的位 置,或者单击“浏览”按钮选择路径,在“日志文件夹”文本框中输 入保存日志的位置或单击“浏览”按钮选择路径。
18
5.3.1 设置域控制器属性(1)
设置域控制器属性,具体步骤如下:
步骤一,选择“开始”/“程序”/“管理工具”/“Active Directory用户 与计算机”菜单,打开“Active Directory用户与计算机”管理窗口, 如图5-19所示。
步骤二,在控制台目录树中,双击展开域节点。单击Domain Controllers 子节点。
步骤六,选择如图5-21所示的“隶属于”选项卡,要添加组,单击“添加”
按钮,打开“选择组”对话框为域控制器选择一个要添加的组;要删除
某个已经添加的组,在“成员属于”列表框选择该组,然后单击“删除”
按钮即可。
可编辑课件PPT
19
5.3.1 设置域控制器属性(2)
图5-19 Active D可ir编ec辑to课r件y用PPT户和计算机窗口
步骤十,域控制器设置完毕,单击“确定”按钮保存设置。
ad基础
必须对Active Directory 的逻辑结构、物理结构 进行规划,才能较好地满足企业需求。
活动目录的逻辑结构
对象:逻辑结构的最基本组件。每个对象类别通过 一组属性来定义,这些属性定义可与此对象关 联的可能值,每个对象具有唯一的属性值组。
AD站点:站点是具有连接的计算机组。单个站点内 的域控制器将频繁通讯,此通讯将站点内的延迟降 到最低。通过建立站点实现优化,使不同位置的域 控制器之间的带宽达到最佳利用。
林:
林是AD的完整实例,其中包含一个或多个 树。默认情况下,AD中的信息只在林内共 享,林是AD实例所包含信息的安全边界。
活动目录的物理结构
AD的逻辑结构:主要面向管理需求
AD的物理结构:决定复制和登录流量发生的时刻 和位置,从而优化网络流量。
活动目录的物理结构
域控制器:运行WINDOWS2003和ACITVE DIRECTORY, 每台域控制器执行存储和复制功能。一 台域控制 器只能支持一个域。为了保证 AD的连续可用行, 每个域应拥有多台域控制器。
组织单位:此类容器对象可以用于布置其他对象, 以直持管理目的。通过按组织单位布置对象, 可以更容易定位和管理对象。 域:域是AD逻辑结构中的核心功能单位,是按管理 定义的对象集合。这些对象共享一个公共目录 数据库、安全策略以及其他域的信任关系。
活动目录的逻辑结构
域树:以层次结构的方式组合到一起的域。向树 中添加第二个域时,则此域就成为树根域 的子域。一个树有一个连续的名称空间。
AD域管理解决方案ppt课件
组策略模板
• 包含组策略设置 • 在两个位置存储内容
• 存储在共享 SYSVOL 文件夹中 • 配置组策略设置 • 支持 ADM 和 ADMX 模板
;.
7
组策略组件
组策略设置定义了具体配置,应用于 用户或计算机
一个组策略是一些能够应用于用 户、计算机的组策略设置集合
;.
8
组策略委派管理
委派组策略相关任务可以将管理工作量分布到企业
• 父/子关系中权限默认继承 • 阻止权限继承:
• 您可以组织权限继承 • 您可以在文件或文件夹上应用阻止继承 • 您可以在文件夹上设置阻止新权限传播给子对象
;.
17
有效权限
• 共享权限和NTFS权限结合使用时,应用最严格权限 • 如:如果一个用户或组被赋予读取共享文件夹权限和 写的NTFS权限,用户或组将只能够读取该文件,因为 它是更严格的权限
有,系统自动创建。可根据需要每天创 建到到多次
服务器自动分发,定时安装
服务器之间数据同步
无
DFS自动复制、自动同步
共享文件夹(局域网网盘)无
可以为每个用户提供网盘,供用户保存
数据
;.
26
;.
19
➢ 使用卷影副本保护共享文件和文件夹
什么是卷影副本? 卷影副本计划注意事项 使用卷影副本恢复数据 演示:从卷影副本恢复数据
;.
20
什么是Shadow Copies? • 运行访问以前的文件版本 • 基于磁盘变化跟踪
• 在同一卷上分配磁盘空间 • 当空间满时,旧的卷影副本会被删除 • 不能替代备份 • 不适合恢复数据库
;.
25
Active Directory管理应用前后对比
域的信任关系
域的信任关系什么是信任关系信任关系是用于确保一个域的用户可以访问和使用另一个域中的资源的安全机制。
根据传递性分,信任关系可分为可传递信任关系和不可传递信任关系。
根据域之间关系分,WINDOWS信任关系可分为四种。
1.双向可传递父子信任关系2.树与树之间的双向可传递信任关系3.同一个森林两个域之间的快捷方式信任关系4.外部信任关系,建立不同的域或者不同的森林。
WINDOWS域和非WINDOWS域,NT域2000域。
一般都是不可传递的单向信任关系。
5.森林信任,2000的森林信任关系是不可传递的。
信任仅仅存在与森林根域之间。
2003的信任是双向可传递的信任关系。
只要在根域创建了森林信任。
域里面的所有用户都建立了信任关系。
创建信任关系的考虑,1.域中有一定量用户要求长期访问某个域中的资源。
2.由于安全理由,区分了资源域和账号域3.部分信任关系默认存在。
4.处于减少上层域DC/GC压力,可创建快捷方式信任关系站点简介◆站点是一个物理概念◆定义处于同一个物理区域的一个或多个子网中的用户对象。
◆优化用户登陆,访问◆优化AD复制站点连接站点内用更新宣告的方式来获取更新,传输是非压缩的传输,占用的带宽和数据量比较大。
站点之间使用站点连接器进行复制,可以设置复制时间和复制间隔,占用多少带宽和采用什么样的协议等。
可以设置开销和复制时间,值越小,优先级别越高。
部署站点的最佳实践。
根据复制需求来定制站点间的复制间隔和复制时间。
对于大环境,建议关闭ITSG,手动配制复制链接AD排错工具Enable NDSI diagnostics log获取详细的底层信息修改注册表MACHINE\system\current conti \services\ntds\diagnostcs取值范围:0——3调整目录服务日志的大小,以便存放产生的日志其他工具DCDIAG分析域控制器的状态针对域控制器特定的功能执行测试NETDOM管理和检查信任关系确认数据库复制是否正常NETDIAG进行网络功能的诊断NETDIAG /VNETDIAG /DEBUG >netdag.txt输出详细的网络信息到TXT文件然后用NETPAD (纪事本)打开DNS与AD活动目录DNS服务器在AD中,除了提供名称格式的支持服务。
AD活动目录域信任关系图解
AD活动⽬录域信任关系图解AD活动⽬录域信任关系图解有时候要给学员们讲解AD活动⽬录域信任关系,所以特地写了这篇⽂章来说明信任是在域之间建⽴的关系。
AD活动⽬录域信任关系就是可以使⼀个域中的⽤户由其他域中域控制器进⾏⾝份验证。
⼀个林中的域之间的所有 Active Directory 信任都是双向的、可传递的信任。
如下图所⽰:域 A 信任域 B,且域 B 信任域 C,则域 C 中的⽤户可以访问域 A 中的资源(如果这些⽤户被分配了适当的权限).只有 Domain Admins 组中的成员才能管理信任关系.信任协议域控制器使⽤两种协议之⼀对⽤户和应⽤程序进⾏⾝份验证:Kerberos version 5 (V5) 协议或 NTLM。
Kerberos V5 协议是 Active Directory 域中的计算机的默认协议。
如果事务中的任何计算机都不⽀持 Kerberos V5 协议,则使⽤ NTLM 协议.信任⽅向单向信任: 单向信任是在两个域之间创建的单向⾝份验证路径。
这表⽰在域 A 和域 B 之间的单向信任中,域 A 中的⽤户可以访问域 B 中的资源。
但是域 B 中的⽤户⽆法访问域 A 中的资源。
单向信任可以是不可传递信任,也可以是可传递信任,这取决于创建的信任类型。
双向信任: Active Directory 林中的所有域信任都是双向的、可传递的信任。
创建新的⼦域时,系统将在新的⼦域和⽗域之间⾃动创建双向可传递信任。
在双向信任中,域 A 信任域 B,并且域 B 信任域 A。
这表⽰可以在两个域之间双向传递⾝份验证请求。
双向关系可以是不可传递的,也可以是可传递的,这取决于所创建的信任类型。
信任类型包括外部信任(不可传递)、快捷⽅式信任(可传递)、领域信任(可传递或不可传递)、林信任(可传递)。
下⾯以实例讲解配置两个域之间的信任关系。
域A:域B要求域A <—> 域B 两个域相互信任,部分⽤户资源互访。
AD域管理介绍幻灯片
部门 OU 策略 部门管理者
部门 OU策略 部门管理者
信审部 销售支持部
按照公司部门组织结构,分级进行
权限分配。可按照部门或者组分配
不同权限。
部门 OU 策略 部门管理者
部门 OU策略 部门管理者
部门 OU 策略 部门管理者
营业部
信息技术中 心
综合保障部
分组 1策略
分组 1
分组 2策略
分组2
分组 3策略
OA系统
内网计算机
FTP系统
共享打印机
共享文件
AD域控就像是为这座大厦安排了一个门卫,只有登记认证通过后,才允许你进入, 没有通过的只能徘徊在门外。极大的增加了公司内部的安全性。
2020/3/24
6
资源访问无控 制
数据保护不安 全
权限分配不合 理
2020/3/24
内网接入无保 护
资源访问不统 一
7
分组3
分组3-1策略
分组 3-1
分组 1策略 分组 1
分组 2策略
分组2
分组3-2策略
分组 3-2
17
AD域管理不仅增加了公司内网的安全性; 还能在某些程度上简化用户的操作; 所以为了加强公司信息系统安全, 规范公司的IT系统,对接入端设备集中管理, 实施AD域管理尤为重要。
2020/3/24
18
2
1
+ 什么是AD域 + AD域和工作组的区别 + 为什么要做AD域 + AD域的好处 + AD域可以做什么
2020/3/24
2
AD(active directory) 活动目录,指的是一组服务器和工作站
的集合。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
AD活动目录域信任关系图解
有时候要给学员们讲解AD活动目录域信任关系,所以特地写了这篇文章来说明信任是在域之间建立的关系。
AD活动目录域信任关系就是可以使一个域中的用户由其他域中域控制器进行身份验证。
一个林中的域之间的所有 Active Directory 信任都是双向的、可传递的信任。
如下图所示:域 A 信任域 B,且域 B 信任域 C,则域 C 中的用户可以访问域 A 中的资源(如果这些用户被分配了适当的权限).
只有 Domain Admins 组中的成员才能管理信任关系.
信任协议
域控制器使用两种协议之一对用户和应用程序进行身份验证:Kerberos version 5 (V5) 协议或 NTLM。
Kerberos V5 协议
是 Active Directory 域中的计算机的默认协议。
如果事务中的任何计算机都不支持 Kerberos V5 协议,则使用 NTLM 协议.
信任方向
单向信任: 单向信任是在两个域之间创建的单向身份验证路径。
这表示在域 A 和域 B 之间的单向信任中,域 A 中的用户可以访问域 B 中的资源。
但是域 B 中的用户无法访问域 A 中的资源。
单向信任可以是不可传递信任,也可以是可传递信任,这取决于创建的信任类型。
双向信任: Active Directory 林中的所有域信任都是双向的、可传递的信任。
创建新的子域时,系统将在新的子域和父域之间自动创建双向可传递信任。
在双向信任中,域 A 信任域 B,并且域 B 信任域 A。
这表示可以在两个域之间双向传递身份验证请求。
双向关系可以是不可传递的,也可以是可传递的,这取决于所创建的信任类型。
信任类型
包括外部信任(不可传递)、快捷方式信任(可传递)、领域信任(可传递或不可传递)、林信任(可传递)。
下面以实例讲解配置两个域之间的信任关系。
域A:
域B
要求域A <—> 域B 两个域相互信任,部分用户资源互访。
配置双向信任关系:
登录两台DC中的任一台,这里以登录域A的DC为例:
开始->运行输入 domain.msc,打开活动目录域和信任关系控制台:定位到域名部分,右击”属性”,切换到”信任选项卡”:
【新建信任】,弹出新建信任向导:
可以看到,信任关系有如下几种类型,本域和同林或者异林中的域、本域和NT4.0域、本域和kerberos V5领域、本域和另一个林。
信任名称:这里指键入要建立信任关系的域、林或者领域的名称
信任类型:外部信任和林信任。
这里选择林信任,林信任使得另一个林中的各个域中的用户都可以在本林中可用域控制器汇总得到身份验证。
相对外部信任而言,林信任放开的范围很大,两个林之间。
双向:域A <—->域B 相互信任,可以互访。
单向(内传): 域A <—- 域B,域B为信任域,域A为受信域,A可访问B,B不能访问A。
单向(外传): 域A —->域B,域A为信任域,域B为受信域,B可访问A,A不可访问B。
信任方: 选择”此域和指定的域”
要创建域信任关系,至少是domain admins组的权限;
这里输入在要建立信任关系的对方域或者林中有权限的凭证
新建的信任摘要,可按【上一步】进行更改,检查无误,直接【下一步】
确认”传出”和”传入”信任后,双方的信任关系就创建完成了,不需要再登录另一台DC创建彼此信任了。
回到”属性”切换到”信任”选项卡,发现”外向信任”和”内向信任”中都有了对方林或者域的名称。
登录另一台DC,查看信任关系:
可以看到,信任关系配置完成了,下面进行验证。
验证信任关系及资源互访:
域A的DC上 ADUC中新建用户
域B 的DC上 ADUC中新建用户,如下图:
新建一个共享目录,设置域B的用户example读取权限;
新建共享目录example,包含子文件example.txt,设置域A的用户fengdian读取权限;
1.fengdian用户登录主机,并访问公共区 :
可以看到,可是顺利打开目录及文件。
说明 “域A<—- 域B ” 已没
有问题。
2.example 用户登录主机,并访问 :
也可以正常访问目录及文件。
说明“域 A —-> 域B”已没有问题
经过测试,可以确认域A <—–> 域B 信任关系已经形成。
通常情况下,测试环境和生产环境更多的是单向信任。
这样在创建信任指定信任方向时,只选择单向内传或者单向外传就可以实现了。