1 Windows 域信任关系概述
? 信任关系是在Windows的域(或林)之间建立的关系,它可以使一个域(或林)中的用户由另一个域(或林)中的域控制器来进行 验证,实现同一个林中的跨域访问和不同林之间的跨域访问,从而为企业不同部门之间的资源互访提供便利。
? Windows域信任关系分为林中的信任关系和林之间的信任关系两种类型。
1.1 林中的信任关系
? 林中的信任关系是指在同一个林内部自动创建的信任关系,并且具备可传递、双向的特征,当在一个林中添加域树或子域后, 林中所有域之间的信任关系就会自动创建。
1.2 林之间的信任关系
? 林之间的信任关系可分为外部信任和林信任。外部信任是指在不同林的域之间手动创建的不可传递的信任;林信任是指在 任一林中的各个域之间手动创建的单向的或双向的可传递的信任关系 。外部信任为不同林中的不同域之间跨域访问资源提供 了方法,但如果两个林中分别有多个域,就需要创建多个外部信任,增加了操作的复杂性,简单的方法是只要在林根域之间建立林 信任关系,而不需要创建多个外部信任,因为林信任是可传递的。
2 域信任关系在企业管理中的应用
2.1 林中的信任关系在企业管理中的应用
某公司采用Windows域环境进行管理,总公司的域名为abc.com,公司有两个分公司,域名分别为aa.abc.com和bb.abc.com,把它们作为根域abc.com的子域,只要确立好是父子关系后,他们之间的信任关系也就确立了,也就能实现总公司和分公司之间资源 互访。首先子域bb.abc.com会与根域建立起互相信任的双向关系,同时因为根域也信任子域aa.abc.com,由于在同一林中域的信任 是会自动传递的,所以子域bb.abc.com与子域aa.abc.com也是相互信任的 。如图1所示,箭头表示信任关系。
? 在林A中添加子域aa.abc.com 和bb.abc.com后,林中所有域之间的信任关系就会自动创建。
? 操作步骤如下:
? 1)在新服务器上运 行“dcpromo”命令,在欢迎向导界面中选择“使用高级模式”安装,单击下一步按钮;
? 2)根据安装向导提示进入“选择某一部署配置” 界面。逐层选择“现有林”、“在现有林中新建立域”,单击“下一步”;如图2所示。
? 3)在“网络凭据”界面中输入目标林中已存在域的名称,设置用于执行安装的帐户凭据,单击“下一步”;如图3所示。
? 4)在“命名新域”界面中,输入父域的FQDN及子域的名称,单击“下一步”;如图4所示。
? 5)按照安装向导提示,完成剩余的安装,然后重启服务器即可。 用同样的方法可以自动创建域abc.com和域bb.abc.com之间的信任关系。完成安装后,在“Active Directory域和信任关系”管理 控制台中可以查看到域abc.com和域aa.abc.com、域bb.abc.com之间是父子信任关系。
2.2 林信任关系在企业管理中的应用
? 林信任是Windows Server 2003林和Windows Server 2008林特有的信任,创建林信任可为任一林中的各个域之间提供一种单向 或双向的可传递信任关系。两个公司分别具有不同的林根域abc.com和林根域xyz.com,域aa.abc.com和域bb.abc.com是林根域abc. com子域,域cc.xyz.com是林根域xyz.com子域,要实现两个林中所有域资源互访,只要在林根域abc.com和林根域xyz.com之间建立 林信任就可以。如图5所示。
? 首先分别在两个林根域的DNS中设置辅助区域用于解析对方地址,或者增加第三台DNS服务器对两个林根域进行解析,然后 创建可传递的林信任关系。
具体操作步骤如下:
? 1)打开“Active Directory域和信任关系”管理控制台,右击域名“xyz.com”,在弹出菜单中选择“属性”,在弹 出的属性界面中打开“信任”选项卡,单击“新建信任”,打开“新建信任向导”,在“信任名称”界面中,输入对方林根域的名称,此例 中为“abc.com”,单击“下一步”。如图6所示。
? 2)在“信任类型”界面中,选择“林信任”;在“信任方向”界面中,选择“单向:外传”;在“信任方”界面中,选择“此域和指定域”。
? 3)在“用户名和密码”界面中,输入指定域有管理权限的用户名和密码,单击“下一步”。如图7所示。
? 4)在“传出信任身份验证级别——本地林”界面中,选择“全林身份验证”,单击“下一步”,直至完成。如图8所示。
? 信任创建完成后,在两个域的DC上打开“Active Directory域和信任关系”。域abc.com为林内向信任,被域xyz.com信任,信任 可传递;域xyz.com为林外向信任,信任域abc.com,信任可传递。
2.3 运用AGDLP规则赋权限,实现跨域访问资源
? 信任关系的建立为跨域访问资源提供了前提条件,但要成功访问资源还必须设置权限。AGDLP规则是指先将用户帐户加入 到全局组,然后将全局组加入本地域组,最后再给本地域组赋予相应的权限。A表示帐户(Account)、G表示全局组(Global Group)、 DL表示本地域组(Domain Local Group)、P表示赋予权限(Permission)。
? 若域abc.com中的财务部用户UserA和UserB需要访问域xyz.com的共享文件夹“soft”,具体操作步骤如下:
? 1)在域abc.com的 DC上创建全局组global_fina,并将用户帐户UserA和UserB加入到该组中。
? 2)在域xyz.com的DC上创建本地域组local_fina,然后在 其“属性”界面中打开“成员”选项卡,单击“添加”按钮,打开“选择用户、联系人、计算机或组”界面,单击“查找范围”,在打开的“位 置”界面中,选择“abc.com”,然后单击“确定”按钮。
? 3)返回“选择用户、联系人、计算机或组”界面,输入全局组名称“global_fina”,然后单击“确定”按钮。如图9所示。
? 4)在文件夹soft上赋予本地域组local_fina相应的读取权限。设置完成后,用户UserA 和UserB就可以通过登录本域内的计算 机访问共享文件夹soft了,或者用户UserA和UserB也可以使用xyz.com的计算机登录访问共享文件夹soft,但在登录时需要注明帐 户为域abc.com的帐户,而不是默认xyz.com的帐户。如图10所示。
参考文献:
[1] Bartoli Adrien, A Random Sampling StrategyFor Piecewise Planar Scene Segmentation[J]. Computer Vision and Image Understanding, 2007, 105(1): 42-59.
[2] 叶昭辉,杨高峰,杨岳湘.一种基于潜在语义分析的中文网页自动摘要方法[J].广西大学学报:自然科学版,2012,37(2):342-345.
[3] 蔡嘉诚.潜在语义索引技术在知识产权专家库中的研究与应用[D].苏州大学硕士论文,2010.04.
[4] 杨文清.基于Web文档库的中文全文检索技术与实现[D].南京大学计算机科学与工程系硕士论文,1998.
[5] Ishii,Murai,Yamada.Text Classification by combining Grouping[J],LSA and KNN,Computer and Information Science,July 2006:148- 154.
[6] Sudarsun.S,Venkatesh Prabhu.G Sathish Kumar.V.Role of weighting on TDM in Improvising PerformanceofLSA on TbXt Data[C],An? nual India Conference,2006,Sept.2006:1-6.
[7] 余正涛,樊孝忠,郭剑毅,等.基于潜在语义分析的汉语问答系统答案提取[J].计算机学报,2006,29(10):1889-1893.
[8] 盖杰,王怡,武港山.基于潜在语义分析的信息检索[J].计算机工程,2004(30).
[9] 戚涌,徐永红,刘凤玉.基于潜在语义标引的Web文档自动分类[J].计算机工程与应用,2004(22):28-31.
原文地址:https://www.cnblogs.com/FSHOU/p/12411276.html