windows网络服务之配置林间外部信任
2009-05-09 19:42
232 查看
公司日常办公使用的域是sina.com(是一个林),工程部最近做一个项目,搭建一个域为google.net(是另外一个林)。google.net域中存储项目的工作文档,存储在共享文件夹share中,供sina.com域中的工程部的员工访问, 为了实现公司的要求,我们采用外部信任来建立两个不同的林之间的特定的域的信任关系,并且使用AGDLP规则来让sina.com中的工程部员工可以访问google.net上的共享文件夹。 实验的拓扑如下:
实验的准备工作: 使用VM软件,两台2003虚拟机,一台是sina.com的DC兼DNS,另外一台是google.net的DC兼DNS。 配置两台DNS的转发器功能,互相指向对方,以便互相解析出对方的DNS域名。 在sina.com域创建一个用户user1(代表工程部的一个员工帐户)和一个全局组project(代表工程部的全局组),将user1添加到project中。 为了能让user1登录DC(为了验证实验的效果),将user1添加为管理员组的成员。 在google.net域中创建一个本地域组file,创建一个共享文件夹share,在share文件夹的"安全”属性中给本地域组file设置“读取”和“写入”权限,字啊“共享”权限中设置everyone“完全控制” 将两个林的功能级别提升为windows server 2003模式。 试验完成的标准:使用user1可以在google.net上登录,使用UNC路径可以在google.net域的共享文件share中添加文件。 下面是具体的实现过程: (一)、创建外部信任 使用管理员登录到google.net的DC。 打开AD域和信任关系——右击google.net域名——从弹出的菜单选择属性——新建信任,单击新建信任按钮,出现新建信任向导,单击下一步。
下面要输入的是指定域中有权限的用户和密码
创建完成后,我们可以看到外部信任是不可传递的信任,且刚才创建的是单向的信任关系,如图
到现在,按照实验的要求,两个林之间的信任关系创建完毕,光有信任关系还是不够的,信任关系的建立只是为了文件的访问搭建了一个桥梁,如果想真正的访问还要有访问的权限,那么我们就要用到AGDLP规则了。 (二)、将被信任域sina.com的全局组project添加为信任域的本地域组file的成员 使用管理员登录到google.net的DC。 使用AD用户和计算机,将被信任域的全局组project添加到本地域组flie。
添加完成之后,下面就可以验证实验的效果了。 (三)、被信任域sina.com的帐户user1跨域访问信任域google.net的共享文件夹share 使用帐户user1登录到sina.com域的DC。 使用unc路径\\10.1.1.2\share打开共享文件夹,检查是否能新建文件。
其实验证信任关系是否建立的方式有很多种,比如:如果google.net信任sina.com的话,那么user1是可以在google.net域登录的,并且在google.net的登录框是可以看到sina.com的。并且在google.net的AD域和信任关系里可以看到sina.com是被信任域,关系不可传递,只存在与两个特定的域之间。
实验的准备工作: 使用VM软件,两台2003虚拟机,一台是sina.com的DC兼DNS,另外一台是google.net的DC兼DNS。 配置两台DNS的转发器功能,互相指向对方,以便互相解析出对方的DNS域名。 在sina.com域创建一个用户user1(代表工程部的一个员工帐户)和一个全局组project(代表工程部的全局组),将user1添加到project中。 为了能让user1登录DC(为了验证实验的效果),将user1添加为管理员组的成员。 在google.net域中创建一个本地域组file,创建一个共享文件夹share,在share文件夹的"安全”属性中给本地域组file设置“读取”和“写入”权限,字啊“共享”权限中设置everyone“完全控制” 将两个林的功能级别提升为windows server 2003模式。 试验完成的标准:使用user1可以在google.net上登录,使用UNC路径可以在google.net域的共享文件share中添加文件。 下面是具体的实现过程: (一)、创建外部信任 使用管理员登录到google.net的DC。 打开AD域和信任关系——右击google.net域名——从弹出的菜单选择属性——新建信任,单击新建信任按钮,出现新建信任向导,单击下一步。
下面要输入的是指定域中有权限的用户和密码
创建完成后,我们可以看到外部信任是不可传递的信任,且刚才创建的是单向的信任关系,如图
到现在,按照实验的要求,两个林之间的信任关系创建完毕,光有信任关系还是不够的,信任关系的建立只是为了文件的访问搭建了一个桥梁,如果想真正的访问还要有访问的权限,那么我们就要用到AGDLP规则了。 (二)、将被信任域sina.com的全局组project添加为信任域的本地域组file的成员 使用管理员登录到google.net的DC。 使用AD用户和计算机,将被信任域的全局组project添加到本地域组flie。
添加完成之后,下面就可以验证实验的效果了。 (三)、被信任域sina.com的帐户user1跨域访问信任域google.net的共享文件夹share 使用帐户user1登录到sina.com域的DC。 使用unc路径\\10.1.1.2\share打开共享文件夹,检查是否能新建文件。
其实验证信任关系是否建立的方式有很多种,比如:如果google.net信任sina.com的话,那么user1是可以在google.net域登录的,并且在google.net的登录框是可以看到sina.com的。并且在google.net的AD域和信任关系里可以看到sina.com是被信任域,关系不可传递,只存在与两个特定的域之间。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Windows网络服务之配置林间的林信任
- NTP 网络时间协议服务配置说明(Windows)
- Windows 网络服务架构系列课程详解(二) ----DNS服务器的部署与配置 推荐
- 开启“无线网络”,提示:请启动windows零配置wzc服务
- 在windows(7)通过virtualbox 运行ubuntu 发布服务 网络配置 NAT配置 vboxmanage
- Windows 网络服务架构系列课程详解(四) --- DNS高级技术配置详解 推荐
- 配置 Windows 时间服务以使用外部时间源 进行时间同步
- Windows 网络服务架构系列课程详解(一) ----DHCP服务器的搭建与配置
- windows网络服务之配置网络负载均衡(NLB)群集
- Windows 网络服务架构系列课程详解(一) ----DHCP服务器的搭建与配置