Windows Server 2016 实现跨域、跨林之间的访问

多域间的概念 当一个林中存在多个域,域和域之间要访问,我们就称为多域之间的访问, 一个林中可能存在以下的域: 名称作用子域继续向任何一个域中添加域控

多域间的概念

当一个林中存在多个域,域和域之间要访问,我们就称为多域之间的访问, 一个林中可能存在以下的域:

名称作用
子域继续向任何一个域中添加域控制器叫做子域(子域的后缀名和父域相同)
域树由一个或者多个具有连续名称的子域组成 (父域为baidu,子域a.baidu,b.baidu 那么这两个子域就是baidu的树域)
域林由一个或者多个不具有连续名称的域树组成,但是域树和域树之间还是存在连续 (如域树baidu 和 域树 uu 就是两个名称不同的域树,这样就构成了域林)DNS需指向第一个在林中创建的DC

三者的创建方法如下

测试环境

主机IP地址
DC1 (a)192.168.1.10
DC2 (b)192.168.1.20
客户端 (属于 a)192.168.1.50

环境搭建

DC1的搭建(a)
搭建展示如下一张截图即可,省略部分截图

DC2的搭建(b)
注意,这一台的DNS要指向DC1,否则这里验证不成功

客户端加入a域
DNS需指向DC1

林中域之间的信任
默认状态下,只要创建了子域以及树域,都会自动创建信任关系,信任是域以及林之间建立关系的首要条件,如果没有信任关系,那么域和域之间是不能够进行访问的,因为我们这里创建的是域树,所有信任类型为树根信任,还有父子信任等
单向信任不可传递
双向信任可传递

如:A信任B,B信任C,针对于单向信任,那么不能够得出A信任C。针对于双向信任,可以得出A信任C

以上就是本次实验所需的测试环境,记得拍摄快照

跨域访问共享文件夹实验

实验要求

1.在b.com 域控上创建一个共享文件夹(需提前将共享文件夹的user权限去掉,防止其他用户通过IP地址就能够访问到该共享文件夹)
2.然后使用AGDLP规则让Windows 7 客户端能够访问到该共享文件夹

搭建过程如下

DNS转发器的配置(DC1,DC2都需要执行 操作一致)
注意:DC2的DNS域要写为a IP地址为192.168.1.10

在b域控上新建共享文件夹 (DC2执行即可)
注意:这里需要将user的权限去掉,否则其他用户可以通过输入IP地址访问到该文件夹,这样我们的这个实验就没有效果了

AGDLP规则创建

AGDLP规则概述:
1.A用户加入到全局组G当中
2.将全局组G加入到本地域组DL3.将本地域组DL赋予权限P

用户和全局组在访问端创建,本地域组和权限在被访问端创建

创建用户usera(用于访问共享文件夹的用户)

创建全局组(a上进行)

将用户usera加入到该全局组里面(a 上进行)

创建本地域组(b上进行)

然后将a上的全局组加入到b上本地域组即可 (在b上进行)

给共享文件夹赋予权限

Windows 7 客户端使用usera用户登录测试

访问测试

注意,可以访问的用户只能够是a上属于全局组里面的用户才能够访问,不是全局组里面的用户,都不能够进行访问

补充:只要两个域之间建立了信任关系,那么计算在哪一个域上创建用户,都可以实现跨域登录

跨林访问共享文件夹实验

上面那个实验是在林中进行的,是域和域之间的访问,接下来的实验我们是在林和林之间进行访问

林之间的信任关系

外部信任(不可传递)的分类:
单向:单向内传和单向外传(只能够一边传)
双向:两边都可以互传
不可传递:比如:A信任BB信任C,那么不能够得出A信任C

林信任(可传递)
单向:单向内传和单向外传(只能够一边传)
双向:两边都可以互传
可传递:比如:A信任BB信任C,那么能够得出A信任C

单向内传:在访问端进行(访问共享文件夹端)
单向外传:在被访问端进行(设置共享文件夹端)
双向传递可以在任何一台DC上进行配置

测试环境

测试环境,我们基于上面的来,a 和 Windows 7 恢复快照,然后我们重新创建一个b

DC2 (b)
DNS无需指向DC1了,指向本地即可,然后我们这里选择添加新林

实验要求

a.com域中的windows 7能够访问b.com上的共享文件夹,两个林之间创建外部信任关系,只允许a.com域中的主机访问b.com ,不允许b.com访问a.com

DNS转发的设置(DC1 DC2 都要执行 操作一致)

然后在uu上创建共享文件夹
这里一样去掉user的权限

建立信任关系 (在 b上进行 )
默认状态下,两个林之间是没有任何信任关系的

点击下一步
这里输入a域的名称

点击下一步
这里选择外部信任

这里选择单向外传(因为我们在b上设置的,如果在a上设置就需要设置为单向内传)

我们这里选择第二个选项:
只是这个域:如果选择了这个,那这一台创建完成以后,我们还需要对方上在来执行一遍这个操作
选择此域和指定域:如果选择了这个,那么代表这里创建了之后,对方就会自动创建,我们就不需要去对方在执行一遍上面的操作了


输入a管理员密码进行验证

然后默认点下去即可,创建完成以后就是如下的样子了

在a上查看

AGDLP规则的创建

在a上创建用户userb以及全局组

创建全局组

然后将用户userb 加入到该全局组里面去即可

在b上创建本地域组以及赋予共享文件权限

然后将a上的全局组加入到b上的本地域组里面
我们在查找的时候,需要输入对方管理员密码进行验证

添加完成以后是这样的

然后将共享文件夹的权限赋予本地域组

Windows 7 客户端访问测试

整个实验搭建完成,效果达到

发布者:admin,转转请注明出处:http://www.yc00.com/web/1740806670a4256469.html

相关推荐

发表回复

评论列表(0条)

  • 暂无评论

联系我们

400-800-8888

在线咨询: QQ交谈

邮件:admin@example.com

工作时间:周一至周五,9:30-18:30,节假日休息

关注微信