实战详解域信任关系,Active Directory系列之十七
本文共 1805 字,大约阅读时间需要 6 分钟。
实战详解域信任关系
上篇博文中我们对域信任关系作了一下概述,本文中我们将通过一个实例为大家介绍如何创建域信任关系。拓扑如下图所示,当前网络中有两个域,一个域是ITET.COM ,另一个域是HOMEWAY.COM 。两个域内各有一个域控制器,分别是Florence 和Firenze ,我们让两个域使用了同一个DNS 服务器。
创建域信任关系要注意DNS 服务器的设置,因为DNS 服务器要负责定位域控制器,关键之处在于域控制器使用的DNS 服务器要能够把两个域的域控制器都定位出来。我们在实验中规划让两个域使用同一个DNS 服务器,显然是出于这个考虑。如果两个域都使用域控制器作DNS ,那么要使用辅助区域,转发器等技术才能保证DNS 服务器可以把两个域的域控制器都解析出来。如下图所示,我们可以看到两个域的区域数据都在同一个DNS 服务器上。
我们准备构建一个单向信任关系,让ITET.COM 域信任HOMEWAY.COM 域,根据之前的分析,ITET 想信任HOMEWAY ,必须征得被信任域的同意,因此我们先在HOMEWAY.COM 域上进行操作。在HOMEWAY.COM 的域控制器Firenze 上打开管理工作中的域和信任关系,如下图所示,右键点击HOMEWAY.COM 域,选择“属性”。
在域的属性中切换到信任标签,如下图所示,点击“新建信任”。
如下图所示,出现信任信任向导,点击“下一步”继续。
输入有信任关系域的名称,如下图所示,我们输入域名为ITET.COM 。
选择信任方向,内传指的是被其他域信任,外传则是信任其他域。由于ITET.COM 信任HOMEWAY.COM ,因此Firenze 的信任方向应该选择单向内传。
接下来我们要选择是在两个域控制器上分别设置信任关系还是同时设置信任关系,为了更清晰地展示这个过程,我们选择在两个域控制器上分别进行信任关系的设置。如果对域信任关系已经熟练掌握,完全可以选择在两个域控制器上同时进行操作。
如下图所示,为了保证不被其他域恶意信任,HOMEWAY.COM 设置了一个信任口令,只有信任域能回答出这个口令,信任关系才可以建立。
如下图所示,信任向导已经做好准备,点击下一步继续。
信任关系已经创建成功,HOMEWAY.COM 已经允许ITET.COM 信任自己了。
接下来要选择是否确认传入信任关系,由于我们还没有在ITET.COM 域中进行设置,因此我们先选择“否,不确认传入信任”。
如下图所示,信任关系创建成功,点击完成结束HOMEWAY.COM 域的设置工作。
HOMEWAY.COM 允许被ITET.COM 信任后,我们接下来就可以在ITET.COM 的域控制器Florence 上设置信任关系,让ITET.COM 主动信任HOMEWAY.COM 。我们在Florence 的管理工具中打开域和信任关系,在域的属性中切换到信任标签,如下图所示,点击“新建信任”。
出现新建信任向导,点击“下一步”继续。
信任域的名称为HOMEWAY.COM 。
对ITET.COM 来说,信任方向应该是单向外传。
我们选择只是在ITET.COM 域进行信任关系的设置,并不涉及HOMEWAY.COM 域。
接下来我们要选择用户身份验证的范围,我们选择全域性身份验证,这样分配资源时会更加灵活。
接下来要输入域信任口令,我们输入homeway.com 设置的信任口令。
如下图所示,域信任向导已经做好了准备,点击下一步继续。
如下图所示,域信任关系设置成功!
由于homeway.com 已经允许被itet.com 信任,因此我们现在可以在itet.com 上确认传出信任了。
如下图所示,信任关系创建完成。
我们来看看设置信任后的效果,我们在itet.com 的域控制器Flroence 上找到一个文件夹,看看能否把文件夹的访问权限分配给homeway.com 的用户。我们在文件夹属性中找到安全标签,点击添加按钮,如下图所示,点击“位置”。
如下图所示,我们发现位置列表中已经有homeway.com 域了,我们现在已经可以把资源分配给homeway.com 域的用户了,单向域信任关系创建成功了。
本文转自yuelei51CTO博客,原文链接:http://blog.51cto.com/yuelei/177534,如需转载请自行联系原作者
你可能感兴趣的文章
正则表达式的语法规则
查看>>
C#一个关于委托和事件通俗易懂的例子
查看>>
类似于SVN的文档内容差异对比工具winmerge
查看>>
Cause: java.sql.SQLException: The user specified as a definer ('root'@'%') does not exist
查看>>
quratz线程
查看>>
execnet: rapid multi-Python deployment
查看>>
windows修改3389端口
查看>>
关于JavaScript词法
查看>>
FreeSwitch中的会议功能(4)
查看>>
MySQL中创建用户分配权限(到指定数据库或者指定数据库表中)
查看>>
AutoReleasePool 和 ARC 以及Garbage Collection
查看>>
重新想象 Windows 8 Store Apps (9) - 控件之 ScrollViewer 基础
查看>>
乐在其中设计模式(C#) - 提供者模式(Provider Pattern)
查看>>
MVP Community Camp 社区大课堂
查看>>
GWT用frame调用JSP
查看>>
大型高性能ASP.NET系统架构设计
查看>>
insert select带来的问题
查看>>
EasyUI 添加tab页(iframe方式)
查看>>
mysqldump主要参数探究
查看>>
好记心不如烂笔头,ssh登录 The authenticity of host 192.168.0.xxx can't be established. 的问题...
查看>>