域信任关系在企业管理中的应用

1 Windows 域信任关系概述

? 信任关系是在Windows的域(或林)之间建立的关系,它可以使一个域(或林)中的用户由另一个域(或林)中的域控制器来进行 验证,实现同一个林中的跨域访问和不同林之间的跨域访问,从而为企业不同部门之间的资源互访提供便利。

? Windows域信任关系分为林中的信任关系和林之间的信任关系两种类型。

1.1 林中的信任关系

? 林中的信任关系是指在同一个林内部自动创建的信任关系,并且具备可传递、双向的特征,当在一个林中添加域树或子域后, 林中所有域之间的信任关系就会自动创建。

1.2 林之间的信任关系

? 林之间的信任关系可分为外部信任和林信任。外部信任是指在不同林的域之间手动创建的不可传递的信任;林信任是指在 任一林中的各个域之间手动创建的单向的或双向的可传递的信任关系 。外部信任为不同林中的不同域之间跨域访问资源提供 了方法,但如果两个林中分别有多个域,就需要创建多个外部信任,增加了操作的复杂性,简单的方法是只要在林根域之间建立林 信任关系,而不需要创建多个外部信任,因为林信任是可传递的。

2 域信任关系在企业管理中的应用

2.1 林中的信任关系在企业管理中的应用

某公司采用Windows域环境进行管理,总公司的域名为abc.com,公司有两个分公司,域名分别为aa.abc.com和bb.abc.com,把它们作为根域abc.com的子域,只要确立好是父子关系后,他们之间的信任关系也就确立了,也就能实现总公司和分公司之间资源 互访。首先子域bb.abc.com会与根域建立起互相信任的双向关系,同时因为根域也信任子域aa.abc.com,由于在同一林中域的信任 是会自动传递的,所以子域bb.abc.com与子域aa.abc.com也是相互信任的 。如图1所示,箭头表示信任关系。

? 在林A中添加子域aa.abc.com 和bb.abc.com后,林中所有域之间的信任关系就会自动创建。

? 操作步骤如下:

? 1)在新服务器上运 行“dcpromo”命令,在欢迎向导界面中选择“使用高级模式”安装,单击下一步按钮;

? 2)根据安装向导提示进入“选择某一部署配置” 界面。逐层选择“现有林”、“在现有林中新建立域”,单击“下一步”;如图2所示。

? 3)在“网络凭据”界面中输入目标林中已存在域的名称,设置用于执行安装的帐户凭据,单击“下一步”;如图3所示。

? 4)在“命名新域”界面中,输入父域的FQDN及子域的名称,单击“下一步”;如图4所示。

? 5)按照安装向导提示,完成剩余的安装,然后重启服务器即可。 用同样的方法可以自动创建域abc.com和域bb.abc.com之间的信任关系。完成安装后,在“Active Directory域和信任关系”管理 控制台中可以查看到域abc.com和域aa.abc.com、域bb.abc.com之间是父子信任关系。

2.2 林信任关系在企业管理中的应用

? 林信任是Windows Server 2003林和Windows Server 2008林特有的信任,创建林信任可为任一林中的各个域之间提供一种单向 或双向的可传递信任关系。两个公司分别具有不同的林根域abc.com和林根域xyz.com,域aa.abc.com和域bb.abc.com是林根域abc. com子域,域cc.xyz.com是林根域xyz.com子域,要实现两个林中所有域资源互访,只要在林根域abc.com和林根域xyz.com之间建立 林信任就可以。如图5所示。

? 首先分别在两个林根域的DNS中设置辅助区域用于解析对方地址,或者增加第三台DNS服务器对两个林根域进行解析,然后 创建可传递的林信任关系。

具体操作步骤如下:

? 1)打开“Active Directory域和信任关系”管理控制台,右击域名“xyz.com”,在弹出菜单中选择“属性”,在弹 出的属性界面中打开“信任”选项卡,单击“新建信任”,打开“新建信任向导”,在“信任名称”界面中,输入对方林根域的名称,此例 中为“abc.com”,单击“下一步”。如图6所示。

? 2)在“信任类型”界面中,选择“林信任”;在“信任方向”界面中,选择“单向:外传”;在“信任方”界面中,选择“此域和指定域”。

? 3)在“用户名和密码”界面中,输入指定域有管理权限的用户名和密码,单击“下一步”。如图7所示。

? 4)在“传出信任身份验证级别——本地林”界面中,选择“全林身份验证”,单击“下一步”,直至完成。如图8所示。

? 信任创建完成后,在两个域的DC上打开“Active Directory域和信任关系”。域abc.com为林内向信任,被域xyz.com信任,信任 可传递;域xyz.com为林外向信任,信任域abc.com,信任可传递。

2.3 运用AGDLP规则赋权限,实现跨域访问资源

? 信任关系的建立为跨域访问资源提供了前提条件,但要成功访问资源还必须设置权限。AGDLP规则是指先将用户帐户加入 到全局组,然后将全局组加入本地域组,最后再给本地域组赋予相应的权限。A表示帐户(Account)、G表示全局组(Global Group)、 DL表示本地域组(Domain Local Group)、P表示赋予权限(Permission)。

? 若域abc.com中的财务部用户UserA和UserB需要访问域xyz.com的共享文件夹“soft”,具体操作步骤如下:

? 1)在域abc.com的 DC上创建全局组global_fina,并将用户帐户UserA和UserB加入到该组中。

? 2)在域xyz.com的DC上创建本地域组local_fina,然后在 其“属性”界面中打开“成员”选项卡,单击“添加”按钮,打开“选择用户、联系人、计算机或组”界面,单击“查找范围”,在打开的“位 置”界面中,选择“abc.com”,然后单击“确定”按钮。

? 3)返回“选择用户、联系人、计算机或组”界面,输入全局组名称“global_fina”,然后单击“确定”按钮。如图9所示。

? 4)在文件夹soft上赋予本地域组local_fina相应的读取权限。设置完成后,用户UserA 和UserB就可以通过登录本域内的计算 机访问共享文件夹soft了,或者用户UserA和UserB也可以使用xyz.com的计算机登录访问共享文件夹soft,但在登录时需要注明帐 户为域abc.com的帐户,而不是默认xyz.com的帐户。如图10所示。

参考文献:

[1] Bartoli Adrien, A Random Sampling StrategyFor Piecewise Planar Scene Segmentation[J]. Computer Vision and Image Understanding, 2007, 105(1): 42-59.

[2] 叶昭辉,杨高峰,杨岳湘.一种基于潜在语义分析的中文网页自动摘要方法[J].广西大学学报:自然科学版,2012,37(2):342-345.

[3] 蔡嘉诚.潜在语义索引技术在知识产权专家库中的研究与应用[D].苏州大学硕士论文,2010.04.

[4] 杨文清.基于Web文档库的中文全文检索技术与实现[D].南京大学计算机科学与工程系硕士论文,1998.

[5] Ishii,Murai,Yamada.Text Classification by combining Grouping[J],LSA and KNN,Computer and Information Science,July 2006:148- 154.

[6] Sudarsun.S,Venkatesh Prabhu.G Sathish Kumar.V.Role of weighting on TDM in Improvising PerformanceofLSA on TbXt Data[C],An? nual India Conference,2006,Sept.2006:1-6.

[7] 余正涛,樊孝忠,郭剑毅,等.基于潜在语义分析的汉语问答系统答案提取[J].计算机学报,2006,29(10):1889-1893.

[8] 盖杰,王怡,武港山.基于潜在语义分析的信息检索[J].计算机工程,2004(30).

[9] 戚涌,徐永红,刘凤玉.基于潜在语义标引的Web文档自动分类[J].计算机工程与应用,2004(22):28-31.

原文地址:https://www.cnblogs.com/FSHOU/p/12411276.html

时间: 2024-11-08 05:14:08

域信任关系在企业管理中的应用的相关文章

Win7 工作站和主域信任关系失败

故障现象: win7输入账户登录后,提示错误 "此工作站和主域间的信任关系失败",所有域用户无法登录,如图: 解决方式: 1. 微软官方,退域重新加入域 https://support.microsoft.com/en-us/kb/2771040 2. 其他建议,"重置计算机账户" https://redmondmag.com/articles/2014/04/21/domain-trust-issues.aspx

在域信任环境中使用 Team Foundation Server (TFS 2013)

原文:在域信任环境中使用 Team Foundation Server (TFS 2013) 1. 用户情景和方案: XX公司的大部分软件产品通过软件外包的方式由开发商完成.为加强对软件开发的进度和质量管理,XX公司部署了一套基于微软TFS 2013的研发平台,并将这个平台与活动目录域test.local集成在一起,在 test.local中为所有软件外包人员创建了登陆账户. 但是XX公司内部已经部署了一套用于企业管理的活动目录域test2.local.为了避免在研发环境的域(test.loca

Windows Server 笔记(六):Active Directory域服务:域信任

域使一个安全边界,在有些情况下,我们需要越过这个边界,那么这个时候,我们就需要使用域信任了. 举个例子,有两个域,nswl.local和xuelan.local这两个域,如果当nswl.local域的用户需要访问xuelan.local域中的资源,或xualan.local域中账户需要在nswl.local的域中进行账户验证,那么,你可以通过在两个域之间设置信任来实现: 信任可以分为单向信任和双向信任,单向信任就是A信任B,而B不信任A:双向信任则是,A信任B,B也信任A:同时域的信任也是可传递

理解域与信任关系详解

在同一个域内,成员服务器根据Active Directory中的用户账号,可以很容易地把资源分配给域内的用户.但一个域的作用范围毕竟有限,有些企业会用到多个域,那么在多域环境下,我们该如何进行资源的跨域分配呢?也就是说,我们该如何把A域的资源分配给B域的用户呢?一般来说,我们有两种选择,一种是使用镜像账户.也就是说,我们可以在A域和B域内各自创建一个用户名和口令都完全相同的用户账户,然后在B域把资源分配给这个账户后,A域内的镜像账户就可以访问B域内的资源了.             镜像账户的方

理解域信任关系

在同一个域内,成员服务器根据Active Directory中的用户账号,可以很容易地把资源分配给域内的用户.但一个域的作用范围毕竟有限,有些企业会用到多个域,那么在多域环境下,我们该如何进行资源的跨域分配呢?也就是说,我们该如何把A域的资源分配给B域的用户呢?一般来说,我们有两种选择,一种是使用镜像账户.也就是说,我们可以在A域和B域内各自创建一个用户名和口令都完全相同的用户账户,然后在B域把资源分配给这个账户后,A域内的镜像账户就可以访问B域内的资源了. 镜像账户的方法显然不是一个好的选择,

此工作站和主域间信任关系失败的解决

相信用域管理的童鞋都会遇到一个问题:在域账户登录的时候有时会出现"此工作站和主域间信任关系失败" 那么遇到这种情况该如何解决的呢? 跟我走: 拔掉网线,登录系统 在用户账户中把administrator账户打开,并设密码 插上网线,退域,重启,用administrator账户登录 重新加域,刷新策略即可

Windows Server 2012 R2/2016 此工作站和主域间的信任关系失败

今天给客户Exchange 服务器出现了脱域的情况,当使用域帐户登录时出现了"此工作站和主域间的信任关系失败"的情况.造成这种的可能原因: 域内存在了多台SID一样的计算机: 计算机对象在AD中意外删除: 客户端的帐户密码更新失败: 时间超过5分钟: AD复制问题等等: 计算机登录现象: 解决方法: 首先确认在Active Directory 的Computers OU(其他OU也可以)中存在该计算机对象: 使用服务器的本地管理员(.\administrator)登录计算机: 使用本地

ADMT3.2域迁移之Server2003至Server2012系列(四)创建林信任关系

本章我们来创建林的信任关系,想要实现两个林间的迁移那么就必须用到信任关系,起到相互验证. 登陆任意一台域控本实例在win2008上 打开[Active Directory 域和信任关系] 点击[新建信任] 输入源服务器名称 选择[林]信任 选择[双向] 选择[此域和指定域] 输入[ma.com]域的管理员账号密码 选择[全林性身份验证]注意红圈处 选择[全林身份验证] 选择信任完毕 信任创建完成 传出信任 传入信任 完成信任创建 查看信任纪录此处为win2008 查看信任纪录此处为win2003

与域控制器失去信任关系问题排查

相信在部署有域环境的公司 兼职过网络管理员的技术员都遇到过此类报障:     与域控制器失去信任关系 原因可能是: 1.计算机有在域服务器中有重名.或该计算机被disabled.或被删除 DNS----清理果实的资源记录,设置老化时间,开启安全的动态更新 原因:DNS开启了安全动态更新,如果老化时间过长,在第一台机器开机更新后,注册了一个IP地址,而其关机后,此IP地址被另外一台机器用,另外一台机器开机了,因为老化时间未到,以及没有清理过时的记录,这个电脑又注册了这个ip地址,就造成了2个名称注