活动目录实战系列四(建立林信任)
ad域控林的概念-概述说明以及解释
ad域控林的概念-概述说明以及解释1.引言1.1 概述在AD域控林的概念中,"AD" 是Active Directory的缩写,它是微软公司开发的一种目录服务,用于中小型企业或大型企业管理网络用户、计算机和其他设备。
而"域控林"则是指将多个AD域(Domain)通过域间信任(Trusts)关系连接在一起,形成一个逻辑上的林(Forest),实现统一管理和集中控制的架构。
AD域控林的概念为企业提供了一种灵活而高效的管理网络资源的方式,能够实现跨域资源共享、集中权限管理、统一安全政策等功能。
通过建立AD域控林,企业可以实现资源的统一管理和集中化管理,提高了系统的可靠性和安全性。
总的来说,AD域控林为企业提供了一种强大的网络管理架构,能够满足复杂的管理需求,提高系统的可靠性和安全性,是现代企业网络管理的不可或缺的重要组成部分。
1.2 文章结构文章结构主要分为引言、正文和结论三部分。
在引言部分,将通过概述、文章结构和目的介绍ad域控林的基本概念和写作目的,引导读者对本文主题有一个整体的了解。
在正文部分,将主要从ad域控林的定义、组成和优势三个方面展开介绍,分别对ad域控林的概念进行详细解读,介绍其由哪些组成部分构成,以及ad域控林相比其他体系的优势所在。
在结论部分,将总结ad域控林的重要性,展望其未来发展方向,并通过结语对全文进行一个简要的总结,为读者留下深刻的印象。
1.3 目的目的部分主要介绍了本文讨论ad域控林的目的和意义。
在当今的信息化时代,企业和组织面临着日益复杂的信息技术环境和安全挑战,ad 域控林作为一种新型的网络架构解决方案,具有较强的应用前景和市场需求。
本文旨在深入探讨ad域控林的定义、组成和优势,帮助读者了解ad 域控林的基本概念和作用,推动其在实际应用中的推广和发展。
通过本文的阐述,读者将对ad域控林有更深入的了解,为其在企业和组织中的应用提供参考和指导。
第8章 活动目录林
韩立刚
大纲
创建子域 配置Windows Server Core作为子域的域控制器 配置DNS复制范围 在林中使用组的策略 提升活动目录域功能级别 全局目录服务器在多域环境中的作用 创建域之间的信任 删除子域 创建林信任 为其他林中的用户授权 跨林访问资源
全局目录服务器
全局目录服务器概述 指定全局目录服务器 启用通用组成员资格
创建域之间的信任关系
信任的类型 可传递信任 不可传递信任
练习
创建子域环境 配置DNS复制范围 提升域功能级别 提升林功能级别 创建信任快捷方式 创建林信任
创置Windows Server Core为子域的域控制 器 配置DNS区域复制范围 将计算机加入到子域 多域环境中用户登录主名 目录林根域的特有组
多域环境中的使用组的策略
安全组 通用组
活动目录域功能级别
域功能级别 提升域功能级别 林功能级别 提升林功能级别
微软活动目录(ActiveDirectory)实战【第三季】:单域多站点视频课程PPT模板
02
第2章部署单林单域第一个站点
第2章部署单林单 域第一个站点
2-1架构图介绍介绍单林单域多站 点架构图。
2-2hyper-v实验环境搭建介绍如 何快速搭建测试环境。
2-3部署先决条件准备介绍正式部 署adds,提升为域控制器之前的 准备工作。
2-2Hyper-v实验环境搭建介绍如 何快速搭建测试环境。
微软活动目录(activedirectory)实 战【第三季】:单域多站点视频课程
演讲人
202x-11-11
目录
01. 第1章活动目录关键概念介绍 02. 第2章部署单林单域第一个站点
01
第1章活动目录关键概念介绍
第1章活动目录关键概念介绍
1-1课程介绍介绍第三季课程的内 容、以及学完后可获得的收益。
1-3ad对象与属性用实际的演 示来帮助大家很好地理解对象
和属性的概念。
1-5域树和林介绍域树和林的关系, 场景。
1-2ad域概述帮助大家直观理解ad 域。
1-4ad容器和组织单位通过 演示讲解容器和组织单位的
概念。
1-6架构和域控制器介绍架构和域 控制器的概念。
第1章活动 目录关键概 念介绍
1
1-7ad信任关系介绍 ad信任关系的分类 和使用场景。
6
1-12站点和子网介 绍站点和子网的概念。
第1章活动目录关键概念介绍
1. 1-13ad目录分区介绍ad目录分区的分类和概念。 2. 1-14域功能和林功能级别简单介绍关于ad林功能和域功能级别的概念。 3. 1-15ad轻型目录服务介绍adlds的概念及使用场景。 4. 1-16ad操作主机介绍操作主机角色的概念和特点。 5. 1-17微软活动目录单域多站点测试微软活动目录单域多站点测试 6. 1-14域功能和林功能级别简单介绍关于AD林功能和域功能级别的概念。 7. 1-15AD轻型目录服务介绍ADLDS的概念及使用场景。 8. 1-16AD操作主机介绍操作主机角色的概念和特点。 9. 1-17微软活动目录单域多站点测试微软活动目录单域多站点测试
AD-域与信任关系
外部信任
11
外部信任的特点
手工建立
林之间的信任关系需要手工创建
信任关系不可传递 信任方向有单向和双向
单向分为内传和外传两种 外部信任 内传指指定域信任本地域 外传指本地域信任指定域
无信任关系 双向信任
12
创建外部信任
双向信任
在两个域之间有两个方向上的两条信任路径 例如:域A信任域B,域B信任域A
传递信任
信任关系是可传递的 例如:域A直接信任域B,域B直接信任域C,则域A信 任域C
8
查看信任关系
父子信任:在同一个域树中父域和子域之间 树根信任:在同一个林中两个域树根域之间
教员演示操作过程
9
林中跨域资源访问
两种方式实现跨域访问
使用账户登录账户域计算机,通过网络访问资源域的 资源 使用账户域账户在资源域计算机上登录从而访问资源 域资源
AGDLP含义
将用户账户加入全局组 将全局组加入本地域组 给本地域组赋权限
使用AGDLP简化了权限的管理
10
林之间的信任
林之间的信任分为外部信任与林信任 外部信任是指在不同林的域之间创建的不可传递的信任 创建外部信任需要两个域能互相解析对方
20
创建林信任
创建林信任与创建外部信任方法类似
不同的是需要升级林功能级别为Windows Server 2003或更高:提升林功能级别方法如下
教员演示操作过程
21
Hale Waihona Puke 建林信任方法同外部信任22
林间跨域访问资源
与林内跨域访问一样,还需设置正确访问权限 才能成功访问资源 应用AGDLP规则
被信任域的帐户加入到被信任域的全局组 被信任域的全局组加入到信任域的本地域组 给信任域的本地域组设置权限
第10章 活动目录域、树和树林
10-5活动目录中的DNS角色介绍
• 名字解析(正向,反向)
– DNS将计算机名称转化为IP地址 – 计算机使用DNS在网络中互相查找
• Windows 2003域的命名协定
– 2003AD使用DNS的域名命名标准 – DNS域和AD域共享一公共的分层命名结构
• 如
Computer2
FQDN = Windows 2003 计算机名 = Computer1
• DNS主机名与AD中计算机帐号是相同的
– 计算机名可认为是特殊的域名
• FQDN:完全有效域名
– 计算机的全称域名 – 计算机的全名
10-7活动目录中DNS名字解析
DNS域名空间 Internet
―.‖
com.
(DNS根域)
AD域名空间
microsoft
training
sales
training.
computer1
= DNS节点(域/计算机)
sales. = AD域
• 要点:
– 使域和计算机成为
对象 属性 打印机名 打印机位置 Users Don Hall Suzan Fine 活动目录 Printers Printer1 Printer2 Printer3 属性 名 姓 登录名 属性值
打印机
用户
• 对象:网络资源
• 属性:关于对象的信息
目录服务使用用户可以通过查找对象的一个或多 个具体属性来确定对象的位置
DNS主机名称和Windows 2003计算机名称
DNS
―.‖
com. microsoft sales training computer1
ISA
ISA练习一、单选在本学期实验平台中,哪台计算机承担了DC的角色()。
A.DenverB.IStanbulC.BerlinD.wuhanISA Server 2006中最多可以支持的网络数量为()。
A.1个B.2个C.3个D.3个以上在ISA Server中通过发布规则发布使用SSL保护的网站时,需要开启的端口为()。
A.80B.8080C.43D.443(A)你是的一位安全管理人。
该网络由一个命名为.的单活动目录域组成。
该网络包含Windows XP Professional客户端电脑和Windows Server 2003组成。
你安装证书服务来为员工签发email加密证书和Web站点认证证书。
当员工离开公司时,你撤销证书。
TestKing e-mail and Web应用采用强证书撤销检查。
需要你减少花费在查找需要撤销的证书和处理撤销的时间。
你还需要减少对网络性能负面影响。
你会怎么做?A.在Certification Authority控制台,打开Revoked Certificates属性。
设置Delta CertificateRevocation List (CRL) publication的时间间隔为一小时。
B.在Certification Authority控制台,打开Revoked Certificates属性。
设置full Certificate Revocation List (CRL) publication的时间间隔为一小时。
C.在Certification Authority控制台,highlight Revoked Certificates,然后在你撤回一个证书之后选择选项:publish a full CRL。
D.在Certification Authority控制台,highlight Revoked Certificates,然后选择Refresh option.。
Windows Server 2008 R2活动目录配置和管理
Demonstration:配置 AD DS 组帐户
在此stration:配置其他 AD DS 对象
在此演示,您将看到如何配置其他 AD DS 对象
Lesson 2:使用组策略
•为将访问分配给资源的选项。 •使用帐户组来分配资源的访问。 •使用帐户组和资源组。 •讨论: 在单个域或多域环境中使用组。
Module 1:配置
Active Directory ® 域服务的域名称服务
模块概述
•Active Directory 域服务和 DNS 集成的概述。 •配置 AD DS 集成的区域。 •配置只读 DNS 区域。
Lesson 1: Active Directory 域服务和 DNS 集成的概述
Lesson 1:配置 Active Directory 对象
•AD DS 对象的类型。 •演示: 配置 AD DS 用户帐户。 •AD DS 组类型。 •AD DS 组范围。 •默认 AD DS 组。 •AD DS 特别标识。 •讨论: 使用默认组和特别的标识。 •演示: 配置 AD DS 组帐户。 •演示: 配置其他 AD DS 对象。
2008
Windows XP
3 客户端验证现有的注册
4
DNS 服务器响应的说明 注册并不存在
客户端将动态更新发送
5 到DNS 服务器
如何安全动态 DNS 更新工作
只有当客户端有正确的凭据要更新接受安全 的动态更新
Windows Vista DNS Client
Local DNS Server
Domain Controller with Active Directory
•在域分区或应用程序分区中,可以存储一个 DNS 区域。 •管理员可以定义自定义复制的范围 应用程序分区。 •DomainDNSzones forestDNSzones 并存储 DNS
信任关系的建立
信任关系的建立
学习目标
理解信任关系的基本概念 掌握建立信任关系的方法
信任关系的基本概念
信任关系简介
•创建信任关系:是为了实现不同域之间的资源的相互访 问
信任关系的类型
父子信任
树根信任
森林信任
快捷信任
领域信任
外部信任
信任关系的属性
•信任关系可以是双向 的,也可以是单向的。 •信任关系有些是自动 建立的,有些需要手 工建立 •信任关系有些是可传 递的,有些是不可传 递的
建立信任关系
建立信任关系
建立信任关系
此台域控制器的域名:
建立信任关系
此台域控制器的域名:
建立信任关系
总结与思考
• 有时为什么要建立域之间的信任关系? • 如何建立域之间的信任关系?
递,单向还是双向等
建立域之间的信 任关系,需要在2 台域控制器上分 别进行配置
此台域控制器的 域名:
建立信任关系
建立信任关系
此台域控制器的域名:
ቤተ መጻሕፍቲ ባይዱ
建立信任关系
建立信任关系
建立信任关系
建立信任关系
建立信任关系
建立信任关系
在森林内的信任关系如何工作
树的根域
Domain A
Domain B
树二
森林根域
Domain 1
树一
Domain 2
Domain C
信任关系的建立方法
建立信任关系的步骤
注意:建立域之间的信任关系,需要在这2台域控制器上 分别进行配置 • 打开:“开始”——“管理工具”——“活动目录的域和
信任关系”命令 • 在“新建信任向导”中,输入信任的域的域名 • 在“新建信任向导”中,配置信任关系的属性:是否可传
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
公司这个时候又壮大了,兼并了广州一家公司,广州公司有自己的域环境,这个时候我们又不想重新建立新的域环境,广州分公司职工不要经过什么密码就能访问总公司的共享资料,还想保留怎么办?
我们通过建立林信任,达到想要效果。
下面开始动工:
建立林信任,大致分为三步:
提升域功能级别
提升林功能级别
建立信任
因为我的环境都是2003的服务器,要提升所有的域控为2003,提升级别是不可逆的过程。
我们先在上建立信任。
这里输入建立信任的密码,和管理员的密码无关。
这样我们就建立完成,然后以同样的手法,在建立。
最后我们验证一下信任。