熱點推薦:
您现在的位置: 電腦知識網 >> 操作系統 >> Windows服務器 >> 正文

多域之間資源共享訪問(AGDLP策略)

2013-11-23 22:20:07  來源: Windows服務器 

  目的:用AGDLP來實現訪問其它域的文件服務器或打印服務器下面實現的是文件服務器的訪問

  AGDLP意思是:A( 帳戶)加入G(全局組)再加到對方域的DL(域本地組)分配P(權限)
    存在台機器一台DC(nwtradermsft)一台DC(contosomsft)一台加入域的客戶端(ntosomsft)

  即能用contosomsft的用戶訪問nwtradermsft的共享文件即可

  拓樸為:

  1.jpg

  先在各自域建立組和用戶
    如下:
    在nwtradermsft建立DL組
    在contradermsft建立G組及c用戶

  

  2.JPG

  3.JPG

  把用戶c加入全局組G
    即實現了AG

  

  4.JPG

  

  用於分配P(權限)那先在nwtradermsft上建立文件服務器並為DL組賦與訪問權
    實現了DLP

  

  5.JPG

  

  為了驗證結果還在share裡面建立了一文ntosomsft上的用戶c能過來訪問即實現了AGDLP

  

  6.JPG

  AG說了DLP也說了還有最重要的一步沒做就是把contoso上的全局組G加入到nwtrader上的域本地組DL這也是最重要的一步
    要在一個域裡加其它域裡的對象那麼域之間必須存在信任關系
    下面就實現如何在兩域之間建立信任關系
    建立信任關系前提必須能相互解釋那麼在DNS上設置轉發器即可

  

  7.JPG

  

  8.JPG

  

  確定相互解釋成功

  9.JPG

  

  

  10.JPG

  接差下來就是提升域和林的功能級別以實現上更多的功能

  11.JPG

  12.JPG

  下面終於可以建立信任關系啦

  13.JPG

  

  

  14.JPG

  設置信任類型信任方向做的是雙向說明兩個域之間的資源都可相互訪問

  15.JPG

  

  

  16.JPG

  

  17.JPG

  身份驗證

  

  18.JPG

  信任密碼用於確認信任關系

  

  19.JPG

  

  信任完畢

  

  20.JPG

  

  21.JPG

  

  是否傳出信任傳入信任我這裡沒有設置等建立完後再驗證

  22.JPG

  

  

  23.JPG

  信任完ntosomsft做同樣操作

  

  24.JPG

  25.JPG

  建完信任關系後可手工驗證信任關系

  

  26.JPG

  

  27.JPG

  

  現在可以實現把contosomsft的全局組G加到nwtrader的域本地組DL
    那麼AGDLP的全過程就實現了
    下面看如何把contosomsft的全局組G加到nwtrader的域本地組DL

  

  28.JPG 

  由於成功的信任關系存在所以在nwtradermsft這個域能看到contosomsft

  29.JPG

  

  

  30.JPG

  

  31.JPG

  

  以上AGDLP for文件服務器的實現操作結束回顧一下我們做了在contosomsft上把用戶c加到全局組再把contosomsft的全局組加到nwtradermsft的域本地組再為域本地組分配權限

  剩下的就是驗證結果
    在contosomsft上設置了NAT只是為了驗證一下客戶端能否訪問文件服務器
    在ntosomsft上用c登錄

  32.JPG

  33.JPG

  34.JPG

  

  能成功訪問也可用於打印服務器操作類似完畢

  小結一下
    在上面我們做信任關系時看到的很多按鈕以及相關的概念

  外部信任VS林信任

  外部信任是指在不同林的域之間創建的不可傳遞的信任(不考慮的域的信任關系)
    注可不需要提升域/林功能級別我上面多此一舉了習慣
    林信任外部信任為不同域間跨域訪問提供了方法可兩個林中有許多域要跨域訪問資源就需要創建很多個外部信任這種方法就顯得不太現實這就引出了林信任只用在林根域之間建立林信任就不需要創建多個外部信任在為林信任是可傳遞的
    注實現林信任前提條件林功能級別為windows server域功能級別可為windows 本機/wndows server

  傳遞信任

  林中的域的信任關系是可傳遞的如域A信任域B域B信任域C即域A信任域C而外部信任不能得出這結果

  方向
    信任方向有單向和雙向兩種其中單向分為內傳和外傳兩種內傳指指定域信任本地域外傳指本地域信任指定域雙向指兩個域之間有兩個方向上的兩條信任路徑如域A做單向外傳指向域B則域B可訪問域A資源


From:http://tw.wingwit.com/Article/os/fwq/201311/29834.html
    推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.