當(dāng)前位置:
首頁 >
Active Directory系列之十七:实战详解域信任关系
發(fā)布時(shí)間:2023/12/4
39
豆豆
生活随笔
收集整理的這篇文章主要介紹了
Active Directory系列之十七:实战详解域信任关系
小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.
實(shí)戰(zhàn)詳解域信任關(guān)系
?
???????? 上篇博文中我們對(duì)域信任關(guān)系作了一下概述,本文中我們將通過一個(gè)實(shí)例為大家介紹如何創(chuàng)建域信任關(guān)系。拓?fù)淙缦聢D所示,當(dāng)前網(wǎng)絡(luò)中有兩個(gè)域,一個(gè)域是ITET.COM,另一個(gè)域是HOMEWAY.COM。兩個(gè)域內(nèi)各有一個(gè)域控制器,分別是Florence和Firenze,我們讓兩個(gè)域使用了同一個(gè)DNS服務(wù)器。 ???????? 創(chuàng)建域信任關(guān)系要注意DNS服務(wù)器的設(shè)置,因?yàn)?/span>DNS服務(wù)器要負(fù)責(zé)定位域控制器,關(guān)鍵之處在于域控制器使用的DNS服務(wù)器要能夠把兩個(gè)域的域控制器都定位出來。我們?cè)趯?shí)驗(yàn)中規(guī)劃讓兩個(gè)域使用同一個(gè)DNS服務(wù)器,顯然是出于這個(gè)考慮。如果兩個(gè)域都使用域控制器作DNS,那么要使用輔助區(qū)域,轉(zhuǎn)發(fā)器等技術(shù)才能保證DNS服務(wù)器可以把兩個(gè)域的域控制器都解析出來。如下圖所示,我們可以看到兩個(gè)域的區(qū)域數(shù)據(jù)都在同一個(gè)DNS服務(wù)器上。 ?????????
我們準(zhǔn)備構(gòu)建一個(gè)單向信任關(guān)系,讓ITET.COM域信任HOMEWAY.COM域,根據(jù)之前的分析,ITET想信任HOMEWAY,必須征得被信任域的同意,因此我們先在HOMEWAY.COM域上進(jìn)行操作。在HOMEWAY.COM的域控制器Firenze上打開管理工作中的域和信任關(guān)系,如下圖所示,右鍵點(diǎn)擊HOMEWAY.COM域,選擇“屬性”。 ??
在域的屬性中切換到信任標(biāo)簽,如下圖所示,點(diǎn)擊“新建信任”。 ??
如下圖所示,出現(xiàn)信任信任向?qū)?#xff0c;點(diǎn)擊“下一步”繼續(xù)。
?
輸入有信任關(guān)系域的名稱,如下圖所示,我們輸入域名為ITET.COM。?
選擇信任方向,內(nèi)傳指的是被其他域信任,外傳則是信任其他域。由于ITET.COM信任HOMEWAY.COM,因此Firenze的信任方向應(yīng)該選擇單向內(nèi)傳。?
接下來我們要選擇是在兩個(gè)域控制器上分別設(shè)置信任關(guān)系還是同時(shí)設(shè)置信任關(guān)系,為了更清晰地展示這個(gè)過程,我們選擇在兩個(gè)域控制器上分別進(jìn)行信任關(guān)系的設(shè)置。如果對(duì)域信任關(guān)系已經(jīng)熟練掌握,完全可以選擇在兩個(gè)域控制器上同時(shí)進(jìn)行操作。?
如下圖所示,為了保證不被其他域惡意信任,HOMEWAY.COM設(shè)置了一個(gè)信任口令,只有信任域能回答出這個(gè)口令,信任關(guān)系才可以建立。?
如下圖所示,信任向?qū)б呀?jīng)做好準(zhǔn)備,點(diǎn)擊下一步繼續(xù)。?
信任關(guān)系已經(jīng)創(chuàng)建成功,HOMEWAY.COM已經(jīng)允許ITET.COM信任自己了。?
接下來要選擇是否確認(rèn)傳入信任關(guān)系,由于我們還沒有在ITET.COM域中進(jìn)行設(shè)置,因此我們先選擇“否,不確認(rèn)傳入信任”。?
如下圖所示,信任關(guān)系創(chuàng)建成功,點(diǎn)擊完成結(jié)束HOMEWAY.COM域的設(shè)置工作。?
HOMEWAY.COM允許被ITET.COM信任后,我們接下來就可以在ITET.COM的域控制器Florence上設(shè)置信任關(guān)系,讓ITET.COM主動(dòng)信任HOMEWAY.COM。我們?cè)?/span>Florence的管理工具中打開域和信任關(guān)系,在域的屬性中切換到信任標(biāo)簽,如下圖所示,點(diǎn)擊“新建信任”。?
出現(xiàn)新建信任向?qū)?#xff0c;點(diǎn)擊“下一步”繼續(xù)。?
信任域的名稱為HOMEWAY.COM。?
對(duì)ITET.COM來說,信任方向應(yīng)該是單向外傳。?
我們選擇只是在ITET.COM域進(jìn)行信任關(guān)系的設(shè)置,并不涉及HOMEWAY.COM域。?
接下來我們要選擇用戶身份驗(yàn)證的范圍,我們選擇全域性身份驗(yàn)證,這樣分配資源時(shí)會(huì)更加靈活。?
接下來要輸入域信任口令,我們輸入homeway.com設(shè)置的信任口令。?
如下圖所示,域信任向?qū)б呀?jīng)做好了準(zhǔn)備,點(diǎn)擊下一步繼續(xù)。?
如下圖所示,域信任關(guān)系設(shè)置成功!?
由于homeway.com已經(jīng)允許被itet.com信任,因此我們現(xiàn)在可以在itet.com上確認(rèn)傳出信任了。?
如下圖所示,信任關(guān)系創(chuàng)建完成。?
我們來看看設(shè)置信任后的效果,我們?cè)?/span>itet.com的域控制器Flroence上找到一個(gè)文件夾,看看能否把文件夾的訪問權(quán)限分配給homeway.com的用戶。我們?cè)谖募A屬性中找到安全標(biāo)簽,點(diǎn)擊添加按鈕,如下圖所示,點(diǎn)擊“位置”。?
如下圖所示,我們發(fā)現(xiàn)位置列表中已經(jīng)有homeway.com域了,我們現(xiàn)在已經(jīng)可以把資源分配給homeway.com域的用戶了,單向域信任關(guān)系創(chuàng)建成功了。本文出自 “岳雷的微軟網(wǎng)絡(luò)課堂” 博客,請(qǐng)務(wù)必保留此出處http://yuelei.blog.51cto.com/202879/177534
轉(zhuǎn)載于:https://blog.51cto.com/hongjun/738885
創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎(jiǎng)勵(lì)來咯,堅(jiān)持創(chuàng)作打卡瓜分現(xiàn)金大獎(jiǎng)總結(jié)
以上是生活随笔為你收集整理的Active Directory系列之十七:实战详解域信任关系的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: cocoaChina中整理的知识点-对文
- 下一篇: centos linux 禁止ping