第六章 多域间访问(AGDLP)

  • Post author:
  • Post category:其他


**一般用单域。当一个公司有多个子公司,用户账户和资源比较多时,如果用单域,效率会变低,因此会用多域结构

************

域树;连续名称空间的多个域,域名后缀相同,第一个域为根,

*单个域也可构成一个单域的域树

*向域树中添加的任何新域—子域

*子域域名:子域本身的名字和父域域名结合而成的DNS名称

**************

林:多个或单个域树组成

**林中不同域树不共用连续的名称空间

*所有域共用相同的配置,架构和全局编录

*林中的第一个域为林的根域

*林根域中有两个预定义的组

enterprise admins(企业管理组):对整个林作修改(如:添加子域)

schema admins(架构管理组):作架构修改(如:部署exchange时需要扩展AD架构

!!要确保服务器能正确解析林内域的域名,要求使用的账户凭据应该是林内enterprise admins组的成员


!!!如果子域处于异地分公司,可能与总部之间的链路带宽比较小,建议在子域中至少有一台GC(全局编录)

***************

林中的信任

*信任:可以使一个域(林)中的用户由另一个域(林)中的域控制器来验证

*winNT 4.0,信任被限制在两个域之间,且信任关系单向不可传递

*win2000后,所有信任都是双向可传递信任

***********

林中跨域访问:(信任关系自动建立,双向可传递),但只是前提,还需要设置权限,才能成功跨域访问

**

*一般用户账户所在的域(账户域),资源所在的域(资源域)


1,两个域的dns能够解析对方的域名,

2,账户域将用户账户加入全局组,

3,在资源域创建本地域组,将账户域全局组加入进来

4,赋予本地域组相应的权限

AGDLP:A(账户)G(全局组)DL(本地域组)P(赋予权限)


===================

林间信任

**同一个林:自动创建可传递双向

不同的林:需要手动创建(外部信任和林信任)

**外部信任特点:

1,手动建立

2,信任关系不可传递

3,信任方向:双向和单向(单向:内传和外传)

*内传:指定域信任本地域(资源域)

外传:本地域信任指定域

********

林信任:林根域间建立林信任(可传递)。前提是保证林功能级别为win2003以上

访问资源时同样适用AGDLP规则



版权声明:本文为weixin_68000565原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。