多域间访问-林中域的访问
前言
林、子域、域树的概念
林:由一个或多个没有形成连续名称空间的域树组成
子域:向域树中添加的任何新域都称为子域
域树:域树是具有连续名称空间的多个域
林中信任关系是怎样的?
1.信任是域或林之间建立的关系,它可以使一个域(或林)中的用户由另一个域(或林)中的域控制器来进行验证
2.在server 2016之前,信任被限制在两个域之间,并且信任关系是单向不可传递的;在Windows server 2016林中的所有信任都是双向可传递信任,因此,具有信任关系的两个域都是可信域
林中跨域访问如何实现
1.信任关系的建立跨域访问资源提供了前提条件,但是要成功访问资源还必须设置权限
2.要实现跨域访问资源,两个域的DNS都要能够互相解析对方的域名,可以分别在两个域的DNS中设置辅助区域用于解析对方地址,或者可以增加第三台DNS服务器,手动添加DNS记录进行解析
3.要实现跨域访问资源,一般都是先将用户账户加入到全局组,然后将全局组加入本地组,最后再给本地域组赋予相应的权限,这就是AGDLP规则;A表示账户(Account),G表示全局组(Giobal Group),DL表示本地域组(Domian Local Group),P表示赋予权限(Permission)
创建父子域(环境:有一个域树为主与控制器)
步骤一:选择新域添加到现有林
写上父域的域名和凭据,新域名只需写上子域名称,后面默认安装
步骤二:安装完后打开AD域与信任关系点击查看xtx.com与cx.xtx.com的关系