[原创]windows server 2012 AD架构试验系列 – 18管理域和林信任-阿里云开发者社区

开发者社区> 技术小大人> 正文

[原创]windows server 2012 AD架构试验系列 – 18管理域和林信任

简介:
+关注继续查看

[原创]windows server 2012 AD架构试验系列 – 18管理域和林信任

先来理解下概念,看下面图片吧

wKioL1UXeOPR_400AAFRY6kRiKA316.jpg

域信任关系是有方向性的,如果A域信任B域,那么A域的资源可以分配给B域的用户;但B域的资源并不能分配给A域的用户,如果想达到这个目的,需要让B域信任A域才可以。

如果A域信任了B域,那么A域的域控制器将把B域的用户账号复制到自己的Active Directory中,这样A域内的资源就可以分配给B域的用户了。从这个过程来看,A域信任B域首先需要征得B域的同意,因为A域信任B域需要先从B域索取资源。这点和我们习惯性的理解不同,信任关系的主动权掌握在被信任域手中而不是信任域
A域信任B域,意味着A域的资源有分配给B域用户的可能性,但并非必然性!如果不进行资源分配,B域的用户无法获得任何资源!

信任的种类:

1父子信任(Parent-Child Trust),具有转移性,双向信任

2-根信任(Tree-Root Trust),双向具有转移性

快捷方式信任 (ShortCut Trust),可以缩短验证用户身份的时间

比如在我们的试验环境中,我们可以让fuyulong.comfuyufei.com建立一个快捷方式信任。

快捷方式信任仅仅有部分转移性,也就是只会向下扩展,不会向上扩展.

4林信任(forest Trust)

如果两个林创建了信任关系,则林中所有的域都相互信任,看上去林信任具有双向转移性

但两个林之间的信任关系无法自动扩展到其他第3个林上,所以林具有部分转移性,但只是针对林中的域.

5外部信任

什么时候用到外部信任位于两个林内的域之间可以通过外部信任来创建信任关系,但外部信任不具有转移性

6领域信任

ADDS域可以和非windows系统的Kerberos领域之间创建信任

<建立删除和管理信任关系,可以用netdom trust来管理>

父子信任和树-根信任都是在创建子域或树域时候自动创建的

其他4种就必须手工创建了.

创建快捷信任:

fuyulong 域和 fuyufei 域创建快捷信任(fuyulong.com  <----(快捷信任)----fuyufei.com)

那么fuyulong域需要创建一个传入信任,lab.com域需要创建一个传出信任.

操作权限:domain admins  enterprise admins

DC2 fuyulong.com上创建传入信任

wKiom1UXd-3CW7qxAAHlvuO545M458.jpg

wKioL1UXeSaDOfOaAAEy4rB_EAk982.jpg

wKioL1UXeSeD1eUqAAFoKELP_Cc590.jpg

wKiom1UXd-7AkN3wAAG8TeedGb4534.jpg

wKioL1UXeSeQWOKXAAFVWAoYrds969.jpg

输入fuyufei管理员账号,直到下一步完成

这个过程指fuyulong可以复制fuyufei的账号到fuyulong ADDS,

fuyufei的账号可以访问fuyulong的域资源,但由于我选择了 此域和指定域 和 确认传入信任。

可以看两边都已经相互成了信任域。

 

wKiom1UXeBegFb3EAAGIcIhIvPY445.jpg

wKioL1UXeVCSPww2AAGpjtivJuk410.jpg

创建林信任

创建fuyi.comlab.com 的信任关系,这次我门只创建lab.com信任fuyi.com

我们现在DC7上创建DNS转发器,避免出现dns引起的问题

wKioL1UXedzxTwsJAAGpE5U81G0788.jpg

lab.com上新建立信任

wKioL1UXefPzfmfUAAFPq947PXE035.jpg

 

wKiom1UXeMjjSW26AAEwJTiSRE4478.jpg

wKioL1UXegHyqjINAAGIA0X0BT0803.jpg


选林信任,单向传入

wKioL1UXejTw_uVyAAElogcv5S4210.jpg

wKiom1UXePuA5JHwAAHRsRMMOeM161.jpg

wKioL1UXejSh8Td0AAFYRgXw5TQ869.jpg

wKiom1UXePuC7w73AAFw4ncEFyM569.jpg

wKioL1UXejTQ1lfHAAD6MWwfxxI611.jpg

wKiom1UXePuz5VT-AAHwXr7BAJQ972.jpg


我们同理在fuyi.com域上来创建传入信任关系

现在我们还没有看到lab.com的信任关系


wKiom1UXeTjRt22rAAHC1J5SPHk141.jpg

wKioL1UXenGTdbFGAAFjzzq-3mg002.jpg

输入信任密码,点 确认传出信任。

wKiom1UXeiDgUNPEAAEZij9sVy4893.jpg

再看下fuyi.com的信任关系

wKioL1UXe6jTdnPBAAG9TkT7EwM435.jpg

我们在dc1上随便建立一个文件夹,看看资源可不可以调用lab.com的用户


wKioL1UXe83xEQwiAAHte5WueP8647.jpg

wKiom1UXepTCc4uyAAKWb0Bk8r4304.jpg

同理:外部信任也一样,只是它没有传递性。

到底是创建林信任还是创建外部信任看这两个域是不是属于同一个组织.

管理和删除信任

1-常规

你可以选择keberos AES加密

如果重新确认对方域或者林之间的信任关系是否有效,你可以点下验证.

wKioL1UXfBfy6HShAAJzd4OkhvA173.jpg

2-名称后缀路由

用户的UPN后缀来决定由哪个林的域控来验证.

 

wKiom1UXewjSds9HAAH_aGwQuCI950.jpg

3-验证方法

wKiom1UXexexUl6EAAGHRHxRw2c013.jpg

一般来说我们都选择全林性身份验证,但如果选择“选择性身份验证”的话,则你需要在本林内的计算机上将允许身份验证 权限给授予另外一个林内的用户或者组。

假设DC55 share文件夹,我们在AD管理中心,把lab1这个用户标记为允许身份验证

 wKiom1UXe4rzNQLnAALraoCzbPc067.jpg

另外:父子和根-域信任是没办法删除的


本文转自 bilinyee博客,原文链接:  http://blog.51cto.com/ericfu/1625314      如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
用 ThreadLocal 管理用户session
早在JDK 1.2的版本中就提供java.lang.ThreadLocal,ThreadLocal为解决多线程程序的并发问题提供了一种新的思路。使用这个工具类可以很简洁地编写出优美的多线程程序。 ThreadLocal很容易让人望文生义,想当然地认为是一个“本地线程”。其实,ThreadLocal并不是一个Thread,而是Thread的局部变量,也许把它命名为ThreadLoc
951 0
usermod命令/用户密码管理/mkpasswd命令
3.4 usermod命令  3.5 用户密码管理 3.6 mkpasswd命令 usermod命令   设置用户uid: usermod  -u  111 username 设置用户gid usermod  -g   gid   username 设置用户家目录 usermo...
1061 0
车辆管理系统之继续自己的任务(五)
JAVA EE第一阶段项目——车辆管理系统。MyEclipse + MySQL +powerDesinger +tomcat +svn。   之前我的删除,现在想想真是无语了,其实我一直都是对的,只是因为我在数据库查询的时候,我只查询了flag为1的,所以就当然就查不出flag为0的了!纠结了两天结果是这样的。
482 0
车辆管理系统之继续自己的任务(四)
JAVA EE第一阶段项目——车辆管理系统。MyEclipse + MySQL +powerDesinger +tomcat +svn。 我周五的时候说这个周末就完成自己的任务的。结果我写了两天的代码,就一直在报错!就连一个删除都没写好!唉!页面还算是写了的吧! 完成的任务:分页,显示数据。
442 0
951
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载