AD域服务器的搭建(2)--AD域信任关系和域组策略

最新推荐文章于 2025-09-01 17:48:47 发布
原创 最新推荐文章于 2025-09-01 17:48:47 发布 · 7.1k 阅读 · 27 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#AD域服务器的搭建 #AD域信任关系 #域组策略

本文介绍了在多域环境中如何通过镜像账户和建立域信任关系实现资源跨域分配,详细阐述了域信任关系的方向性、传递性,并探讨了从NT4到Windows2000的域信任变化。此外,还解析了AD域组策略的概念,包括组策略对象的构成、管理及在资源分配中的应用。

问题

在同一个域内,成员服务器根据Active Directory中的用户账号,可以很容易地把资源分配给域内的用户。
但一个域的作用范围毕竟有限,有些企业会用到多个域,那么在多域环境下,我们该如何进行资源的跨域分配呢?

解决方法

1.镜像账户

如何把A域的资源分配给B域的用户呢?

方法:在A域和B域内各自创建一个用户名和口令都完全相同的用户账户,然后在B域把资源分配给这个账户后,A域内的镜像账户就可以访问B域内的资源了。

存在问题:账户的重复建设等

2.创建域信任关系

1.域信任关系是有方向性的,如果A域信任B域,那么A域的资源可以分配给B域的用户;但B域的资源并不能分配给A域的用户,如果想达到这个目的,需要让B域信任A域才可以。
2.如果A域信任了B域,那么A域的域控制器将把B域的用户账号复制到自己的Active Directory中,这样A域内的资源就可以分配给B域的用户了。从这个过程来看,A域信任B域首先需要征得B域的同意,因为A域信任B域需要先从B域索取资源。

域信任关系

域的信任关系的主动权掌握在被信任域手中而不是信任域
A域信任B域,意味着A域的资源有分配给B域用户的可能性,但并非必然性!如果不进行资源分配,B域的用户无法获得任何资源!

NT4到Windows2000的域关系的转变

NT4的域时代

信任关系是不具有传递性的。

最低0.47元/天 解锁文章
[ 内网渗透实战篇-2 ] 父架构的搭建与安装&环境判断&控定位&组策略&森林架构配置&信任关系
qq_51577576的博客
11-07 1187
[ 内网渗透实战篇-2 ] 父架构的搭建与安装&环境判断&控定位&组策略&森林架构配置&信任关系 1、学习如何搭建父子架构 2、了解森林架构以及与单、父子的不同 3、掌握如何判断主机是否在单内 4、掌握如何判断主机是否在父子内 5、掌握如何定位当前控DC 6、掌握如何获取当前其他信息 其他信息:用户及组,网络架构等、手工工具:常见命令,工具插件等、角色信息
文件服务器怎么同步ldap,adldap服务器搭建
weixin_42136365的博客
08-10 1505
adldap服务器搭建 内容精选换一换OneAccess支持通过AD认证用户身份控制权限。AD全称Active Directory,中文名称活动目录。您可以将AD简单理解成一个数据库,其存储有关网络对象的信息,方便管理员用户查找所需信息。本文主要介绍OneAccess集成AD认证源的方法。该配置流程以用户PC端访问用户门户为例,您可以按需选择应用配置应用的认证方式,配置活动目录(Acti...
AD域服务器搭建 (图文详解)
m0_73910867的博客
10-13 2万+
全称“Active Directory”活动目录,主要是面向Windows standard server、Windows enterprise serverWindows datacenter server的目录服务,什么是目录?目录类似书的目录一样,是存储网络上信息的一种层次结构,目的是为了在Windows系统中快速的查找对象,如:共享资源、、应用程序、服务、安 全方针等等网络上的一切。AD服务搭建 (图文详解)
AD域服务器安装部署
12-24
windows Server 2012_active directory域服务器安装部署教程
Active Directory(AD全方位部署与实战指南
最新发布
ececec12的博客
09-01 2289
Active Directory 服务是企业 IT 基础设施的核心,通过集中化的身份管理、权限控制与策略下发,解决了分散管理带来的效率低、安全性差等问题。
深信服 SANGFOR_AC_SG_v11.0_AD如何关联组策略用户配置指导书
02-27
SANGFOR_AC_SG_v11.0_AD如何关联组策略用户配置指导书
AD环境搭建
qq_42087317的博客
01-10 2572
所有ad搭建都需要先搭建dns服务在搭建ad**
AD信任关系 部署计划
weixin_33753845的博客
03-20 520
AD信任关系 对系统管理员来说,信任可能是非常复杂的一个问题,但是首次部署就要保证其正确又是非常重要的。这里是一些 要时刻注意的关键点,可以协助确保你的信任配置最有效率,而出现头痛的问题最少。 1: 考虑清楚应当使用何种信任类型在部署一个信任之前,你应当确保所采取的类型对所要进行的任务而言是绝对正确无误的。考虑一个信任,应当从下述几个方面进行: ...
Windows Server 2016 AD父子搭建手册
07-28
Windows Server 2016 Active Directory (AD) 父子搭建是企业网络环境中的一项关键任务,它为组织提供了集中化的身份验证、授权管理功能。本手册旨在指导IT中心如何按照《XXXX活动目录规划方案》的要求,构建...
Server2012R2搭建AD域服务器.pdf
05-29
Server 2012 R2 搭建 AD 域服务器 一、准备阶段 在 Server 2012 R2搭建 AD 域服务器之前,需要进行一些准备工作。首先,需要将计算机名称命名为"DC",然后修改 IP 地址 DNS 设置。这些设置将为后续的搭建工作...
独立AD整合(1)基于Server 2019的AD信任建立
RaySun的技术Blog
12-29 3390
背景及需求: 某客户公司corp-A近期收购了公司corp-B,当前两家公司均有自己独立的AD名分别为corp-A.com及corp-B.com,未来需要实现corp-A进行统一管理 需求分析: 根据用户的初步描述,个人理解未来需要实现的方向大致如下 Corp-A的管理员需要在同一台AD服务器统一管理整个组织机构目录,GPO等 Corp-A与Corp-B的部分资源需要进行互访及信任,如DNS记录,GPO等 需要对Corp-B的架构改动及终端用户尽可能做到0感知 方案设想: 好久没接触AD架构了,基于
AD创建林信任
09-17
在实战详解信任关系中,我们介绍了如何创在两个之间创建信任关系。实战的结果是我们在itet.comhomeway.com之间成功创建了信任关系,达到了预期目的。但我们打开控制器上的Active Directory信任工具,可以从下图中发现,itet.comhomeway.com之间的信任关系是不可传递的!这个要引起我们的关注。
AD(Active Directory )搭建与操作
qq_43640977的博客
08-24 6903
若组织单位创建错误需要删除,可点击查看,开启高级功能,右键组织单位属性容纳后点击对象,取消“防止对象被意外删除”勾选,之后关闭高级功能。给用户改成 Domain Admins,右键对应用户 - 属性 - 隶属于 - 添加,输入 Domain Admins,检查后点击确定。点开 Users 查看,Domain Users 属于所有的用户,即最低级的。在对应部门,右键新建用户,填写资料,设置密码(如大小写字母组合。如果是第一台控制器,要选择添加新林,输入公司的根名,如。DNS 不用管,直接下一步。
AD搭建操作使用
互联网知识分享
04-06 1万+
AD是Active Directory的缩写,它是基于windows的一个组合,它可以集中控制加入的所有计算机的权限,更高效的分配权限、提高资料的安全性、节省管理成本等等。公司的网络中的PC数目低于10台,则建议建议采对等网的工作模式,而如果超过10台,则建议采用的管理模式,因为可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,大多数公司来说都需要用到管理来实现方便管理等好处。(4)一但进入的AD,会给你分配重新的一个桌面,但软件还给你保留着,其它的文件,会没有。
Windows活动目录系列---配置AD服务的信任(1)
weixin_34381666的博客
11-27 988
在一个多AD林中,AD之间会自动生成双向传递的信任关系,这样能够在所有的AD之间有一条信任通道。在林中自动创建的信任都是可传递的信任,这表示如果A信任B,B信任C,那么A就会信任C。下面列举几种主要的信任关系信任类型传递性方向描述父子信任传递双向当一个新的AD加入到现有的AD树中,会自动创建父子信任关系根树信任传递双向当一个新的AD树加入到现有的A...
控制器信任关系报错无法找到AD
qq_42554735的博客
07-17 3797
树建立好后,默认会建立好一个双向的信任关系,而且是可传递的。 需要验证一下两端的信任关系,是否互相信任 验证树到根信任关系 能够授权用户密码没有问题 验证根树的的信任关系 报错:找不到树中的控制器 原因:根的服务器使用的本机的DNS来解析,DNS中并没有树hehe.com的查找区,根找不到hehe.com的。需要添加一条转发器进行解析转发 创建一条转发器将hehe.com区转发到树的控制器上进行解析 再次进行验证信任关系信任通过。 ...
AD环境搭建(超级详细版)
qq_75150603的博客
07-27 2365
本文介绍了在VMware Workstation Pro 16环境下配置Windows Server 2022控服务器的完整过程。主要内容包括:1)基础环境配置(静态IP设置);2)安装Active Directory服务DNS服务器;3)将服务器提升为控制器(example.com);4)创建用户(ceshi)并加入管理员组;5)客户端(Windows 11)加入测试。配置完成后,通过ping测试用户登录验证了AD环境的正常运行。整个过程包含详细的步骤说明关键参数配置
AD环境搭建超详细
热门推荐
w1304099880的博客
03-08 3万+
AD环境搭建1/2工具环境介绍Windows Server 2012配置 文章太长分两篇写了 工具 Vmware、Windows10 环境介绍 Windows Server2012 名服务器:ceshi.com 账号:Administrator;pcuser(两个账号) 密码:wang123456.. IP地址:192.168.10.100 Win7Sp1 账号:userone 密码:Wang123456.. IP地址:192.168.10.101 两者为仅主机模式(192.168
实战详解信任关系,Active Directory系列之十七
weixin_34242509的博客
07-13 751
 实战详解信任关系            上篇博文中我们对信任关系作了一下概述,本文中我们将通过一个实例为大家介绍如何创建信任关系。拓扑如下图所示,当前网络中有两个,一个是ITET.COM,另一个是HOMEWAY.COM。两个内各有一个控制器,分别是FlorenceFirenze,我们让两个使用了同一个DNS服务器。          创建信任关系要注意DNS服务器的设置,...
如何在Cisco模拟器中的交换机配置VTP口令
07-04
<think>我们正在配置VTP的口令。根据引用[1]中的信息,配置VTP前需要先将交换机之间的端口配置为trunk模式,并且所有交换机需要在同一个中。此外,VTP有三种模式:server、clienttransparent。配置VTP密码的步骤通常如下:1.进入全局配置模式。2.配置VTP名:`vtp domain<domain-name>`3.配置VTP密码:`vtp password<password>`4.确保交换机之间的链路是trunk模式。5.根据需求设置VTP模式(server,client,transparent)。注意:在Cisco PacketTracer中,VTP配置命令可能略有不同,但基本步骤一致。具体步骤:步骤1:将交换机之间的端口配置为trunk模式。例如,对于连接另一台交换机的接口(假设是gig0/1):```Switch(config)#interface gigabitEthernet0/1Switch(config-if)# switchport modetrunkSwitch(config-if)# end```步骤2配置VTP密码(在全局配置模式下):```Switch(config)#vtpdomain mydomainSwitch(config)#vtppassword mypassword```步骤3:设置VTP模式(可选,如果不设置,默认是server模式):```Switch(config)#vtpmode server#或client或 transparent```步骤4:验证配置:```Switch# showvtpstatus```注意:在配置VTP密码后,所有同一中的交换机必须配置相同的密码才能交换VTP信息。根据引用[1]中的总结,配置VTP前必须配置trunk,并且所有交换机的密码必须一致。下面是一个完整的配置示例(以两台交换机为例):交换机1(作为server):```Switch> enableSwitch#configure terminalSwitch(config)# hostname SW1SW1(config)# interfacegigabitEthernet0/1SW1(config-if)#switchportmode trunkSW1(config-if)# exitSW1(config)#vtpdomain mycompanySW1(config)#vtppassword cisco123SW1(config)#vtpmode server```交换机2(作为client):```Switch>enableSwitch# configureterminalSwitch(config)#hostnameSW2SW2(config)#interface gigabitEthernet0/1SW2(config-if)#switchportmode trunkSW2(config-if)# exitSW2(config)#vtpdomain mycompanySW2(config)# vtp passwordcisco123SW2(config)# vtp modeclient```配置完成后,使用`show vtp status`命令检查VTP状态,确保名、密码模式正确,并且可以看到VTP的版本、配置修订号等信息。注意事项: -密码是区分大小写的。-如果配置了密码,那么中所有交换机都必须配置相同的密码。-配置修订号(configurationrevision)在VTP中非常重要,较高的修订号会覆盖较低的。因此,在向现有网络中添加新交换机时,最好先将其模式设置为transparent,然后重置修订号(可以通过更改名再改回来,或者将模式改为transparent再改回server/client)后再加入网络,避免意外覆盖现有VLAN信息。在CiscoPacket Tracer中,这些命令都是支持的。相关问题:1.如何重置VTP配置修订号?2.VTP版本之间有什么区别?如何配置VTP版本?3.如果VTP密码不匹配会有什么后果?</think>### 在Cisco模拟器中配置VTP密码 以下是详细配置步骤(以Cisco Packet Tracer为例): #### 1. **配置Trunk链路(必需前提)** ```cisco Switch> enable Switch# configure terminal Switch(config)# interface [接口名称] ! 如 GigabitEthernet0/1 Switch(config-if)# switchport mode trunk Switch(config-if)# end ``` > 📌 引用[1]强调:**在配置VTP前必须先把交换机之间相连的端口配置成trunk模式** [^1] #### 2. **配置VTP名** ```cisco Switch# configure terminal Switch(config)# vtp domain [名] ! 如 OFFICE_NET Switch(config)# end ``` > ⚠️ 所有交换机需使用**相同名**才能同步VLAN信息 #### 3. **配置VTP密码** ```cisco Switch(config)# vtp password [密码] ! 如 Cisco@2023 Switch(config)# end ``` > 🔒 密码规则:1-32字符,区分大小写,建议包含字母/数字/符号 #### 4. **设置VTP模式(可选但推荐)** ```cisco ! 服务器模式(可创建/修改VLAN) Switch(config)# vtp mode server ! 客户端模式(仅同步VLAN) Switch(config)# vtp mode client ``` > 🔄 引用[1]说明:**Server模式负责创建/删除VLAN,Client模式只学习不修改** [^1] #### 5. **验证配置** ```cisco Switch# show vtp status ``` 关键输出检查: - `VTP Operating Mode`: server/client - `Domain Name`: OFFICE_NET - `Pruning Mode`: Disabled - `VTP Password`: configured (显示为MD5哈希值) #### 完整配置示例(Server交换机): ```cisco Switch> enable Switch# conf t Switch(config)# vtp domain HEADQUARTER Switch(config)# vtp password S3cur3P@ss Switch(config)# vtp mode server Switch(config)# interface range gig0/1-2 Switch(config-if-range)# switchport mode trunk Switch(config-if-range)# end Switch# copy running-config startup-config ``` ### 注意事项 1. **密码一致性**:内所有交换机的VTP密码必须相同 2. **修订号风险**:新加入的Server交换机可能用更高修订号覆盖现有VLAN表 3. **透明模式**:若需独立VLAN配置,使用`vtp mode transparent`(不参与同步) 4. **版本兼容**:检查`show vtp status`中的VTP版本(默认版本2) > 💡 故障排查:若同步失败,检查`%VTP-UI-PWD: Password mismatch`错误日志,表示密码不匹配 ### 配置拓扑示例 ``` [Server-SW] ---(trunk)--- [Client-SW1] | (trunk) | [Client-SW2] ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值