目的:用AGDLP來實現訪問其它域的文件服務器或打印服務器下面實現的是文件服務器的訪問
AGDLP意思是:A( 帳戶)加入G(全局組)再加到對方域的DL(域本地組)分配P(權限)
存在台機器一台DC(nwtradermsft)一台DC(contosomsft)一台加入域的客戶端(ntosomsft)
即能用contosomsft的用戶訪問nwtradermsft的共享文件即可
拓樸為:
先在各自域建立組和用戶
如下:
在nwtradermsft建立DL組
在contradermsft建立G組及c用戶
把用戶c加入全局組G
即實現了AG
用於分配P(權限)那先在nwtradermsft上建立文件服務器並為DL組賦與訪問權
實現了DLP
為了驗證結果還在share裡面建立了一文ntosomsft上的用戶c能過來訪問即實現了AGDLP
AG說了DLP也說了還有最重要的一步沒做就是把contoso上的全局組G加入到nwtrader上的域本地組DL這也是最重要的一步
要在一個域裡加其它域裡的對象那麼域之間必須存在信任關系
下面就實現如何在兩域之間建立信任關系
建立信任關系前提必須能相互解釋那麼在DNS上設置轉發器即可
確定相互解釋成功
接差下來就是提升域和林的功能級別以實現上更多的功能
下面終於可以建立信任關系啦
設置信任類型信任方向做的是雙向說明兩個域之間的資源都可相互訪問
身份驗證
信任密碼用於確認信任關系
信任完畢
是否傳出信任傳入信任我這裡沒有設置等建立完後再驗證
信任完ntosomsft做同樣操作
建完信任關系後可手工驗證信任關系
現在可以實現把contosomsft的全局組G加到nwtrader的域本地組DL
那麼AGDLP的全過程就實現了
下面看如何把contosomsft的全局組G加到nwtrader的域本地組DL
由於成功的信任關系存在所以在nwtradermsft這個域能看到contosomsft
以上AGDLP for文件服務器的實現操作結束回顧一下我們做了在contosomsft上把用戶c加到全局組再把contosomsft的全局組加到nwtradermsft的域本地組再為域本地組分配權限
剩下的就是驗證結果
在contosomsft上設置了NAT只是為了驗證一下客戶端能否訪問文件服務器
在ntosomsft上用c登錄
能成功訪問也可用於打印服務器操作類似完畢
小結一下
在上面我們做信任關系時看到的很多按鈕以及相關的概念
外部信任VS林信任
外部信任是指在不同林的域之間創建的不可傳遞的信任(不考慮的域的信任關系)
注可不需要提升域/林功能級別我上面多此一舉了習慣
林信任外部信任為不同域間跨域訪問提供了方法可兩個林中有許多域要跨域訪問資源就需要創建很多個外部信任這種方法就顯得不太現實這就引出了林信任只用在林根域之間建立林信任就不需要創建多個外部信任在為林信任是可傳遞的
注實現林信任前提條件林功能級別為windows server域功能級別可為windows 本機/wndows server
傳遞信任
林中的域的信任關系是可傳遞的如域A信任域B域B信任域C即域A信任域C而外部信任不能得出這結果
方向
信任方向有單向和雙向兩種其中單向分為內傳和外傳兩種內傳指指定域信任本地域外傳指本地域信任指定域雙向指兩個域之間有兩個方向上的兩條信任路徑如域A做單向外傳指向域B則域B可訪問域A資源
From:http://tw.wingwit.com/Article/os/fwq/201311/29834.html
