多域之间的共享访问AGDLP策略
2011-02-07 00:26:25
![clip_p_w_picpath002[6]](https://s1.51cto.com/attachment/201102/6/201995_1297009917vbsy.jpg "clip_p_w_picpath002[6]")
![clip_p_w_picpath004[5]](https://s1.51cto.com/attachment/201102/6/201995_1297009919ObEy.jpg "clip_p_w_picpath004[5]")
![clip_p_w_picpath005[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009921WLEz.jpg "clip_p_w_picpath005[4]")
![clip_p_w_picpath007[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009923owiR.jpg "clip_p_w_picpath007[4]")
![clip_p_w_picpath009[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009925v5BW.jpg "clip_p_w_picpath009[4]")
![clip_p_w_picpath011[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009928CvMX.jpg "clip_p_w_picpath011[4]")
![clip_p_w_picpath013[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009930EPsU.jpg "clip_p_w_picpath013[4]")
![clip_p_w_picpath015[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009932jjjc.jpg "clip_p_w_picpath015[4]")
![clip_p_w_picpath017[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009934Ppwl.jpg "clip_p_w_picpath017[4]")
![clip_p_w_picpath019[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009936eUvZ.jpg "clip_p_w_picpath019[4]")
![clip_p_w_picpath021[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009939ZtSK.jpg "clip_p_w_picpath021[4]")
![clip_p_w_picpath023[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009941lJHe.jpg "clip_p_w_picpath023[4]")
![clip_p_w_picpath025[4]](https://s1.51cto.com/attachment/201102/6/201995_12970099429ypr.jpg "clip_p_w_picpath025[4]")
![clip_p_w_picpath027[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009943bFD6.jpg "clip_p_w_picpath027[4]")
![clip_p_w_picpath029[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009944O8mT.jpg "clip_p_w_picpath029[4]")
![clip_p_w_picpath031[4]](https://s1.51cto.com/attachment/201102/6/201995_12970099455eYe.jpg "clip_p_w_picpath031[4]")
![clip_p_w_picpath033[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009947ML3W.jpg "clip_p_w_picpath033[4]")
![clip_p_w_picpath035[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009948pHv9.jpg "clip_p_w_picpath035[4]")
![clip_p_w_picpath037[4]](https://s1.51cto.com/attachment/201102/6/201995_12970099492hn6.jpg "clip_p_w_picpath037[4]")
![clip_p_w_picpath039[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009951HSjV.jpg "clip_p_w_picpath039[4]")
![clip_p_w_picpath041[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009952DwWA.jpg "clip_p_w_picpath041[4]")
![clip_p_w_picpath043[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009955jq0E.jpg "clip_p_w_picpath043[4]")
![clip_p_w_picpath045[4]](https://s1.51cto.com/attachment/201102/6/201995_12970099574mlQ.jpg "clip_p_w_picpath045[4]")
![clip_p_w_picpath047[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009959isvU.jpg "clip_p_w_picpath047[4]")
![clip_p_w_picpath049[4]](https://s1.51cto.com/attachment/201102/6/201995_12970099604nyz.jpg "clip_p_w_picpath049[4]")
![clip_p_w_picpath051[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009963UPm4.jpg "clip_p_w_picpath051[4]")
![clip_p_w_picpath053[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009966CasT.jpg "clip_p_w_picpath053[4]")
AGDLP意思是A(账户)加入G(全局组),再加到对方域的DL(域本地组),分配P(权限)。
实验目的:用AGDLP来实现访问其它域的共享文件。
试验准备:
新建一个分组,放三个虚拟机a,b,xp,其中a,b是windows 2003,在b机中设置双网卡。一个为10网段,一个为192网段。xp也是双网卡,一块网卡连接b,一块连接a。
分别设置三台机的密码为suntong_258,后面试验用的的密码均设置为该密码。
拓扑图:
![clip_p_w_picpath002[6]](https://s1.51cto.com/attachment/201102/6/201995_1297009916p4lZ.jpg "clip_p_w_picpath002[6]")
虚拟机下虚拟网卡的设置如下:
![clip_p_w_picpath004[5]](https://s1.51cto.com/attachment/201102/6/201995_1297009918dnlG.jpg "clip_p_w_picpath004[5]")
拓扑说明:把所有网卡放在局域网1中,b电脑和xp设置双网卡,设置好相应的IP后,三台电脑应该能互相ping通的。其实也可以不设置双网卡,而是给一块网卡配置2个IP地址,效果一样。本实验采用双网卡做。另外,如果实验拓扑图如下的话,默认情况下即使不配置权限,xp也是ping不通a电脑的,在测试时需要在b上设置NAT。
![clip_p_w_picpath005[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009920JI3i.jpg "clip_p_w_picpath005[4]")
注意:在配置IP的时候需要将b机的192网段的DNS不填,只填写10网段的
![clip_p_w_picpath007[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009922BtyB.jpg "clip_p_w_picpath007[4]")
![clip_p_w_picpath009[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009924Vtdr.jpg "clip_p_w_picpath009[4]")
而XP中则10网段的DNS需要填写,192网段的不填,否则会出现DNS错误等提示。
实验目的:利用AGDLP规则使niit.com下的用户能访问benet.com下的共享文件。
步骤1:拓扑图设置好计算机名,IP地址,dns地址,分别提升2台2003的电脑为域控(在不同的林中),把xp加入域niit.com。
步骤2:在benet.com下建立OU取名benet,在里面建立域本地组DL。
![clip_p_w_picpath011[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009926tQNd.jpg "clip_p_w_picpath011[4]")
步骤3:在niit.com下建立G组及用户c
![clip_p_w_picpath013[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009929Rp62.jpg "clip_p_w_picpath013[4]")
步骤4:把用户c加入全局组G,即实现了AG。
![clip_p_w_picpath015[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009931nuMj.jpg "clip_p_w_picpath015[4]")
步骤5:分配P(权限),先在benet.com上建立文件夹share并共享,为了验证结果在share中新建个文本文件st,并为DL组赋予访问权,实现了DLP。
![clip_p_w_picpath017[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009933l13P.jpg "clip_p_w_picpath017[4]")
AG说了,DLP也说了,还有最重要的一步,就是把niit上的全局组G加入到bennet上的域本地组DL,这也是最重要的一步,要在一个域里加入其它域里的对象。那么域之间必须存在信任关系。建立信任关系的前提是能相互解释,那么在DNS上必须设置转发器。
步骤6:分别在A,B上是指DNS转发器。
Benet域下的DNS转发器地址填B电脑同网段的IP地址
![clip_p_w_picpath019[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009935GqP2.jpg "clip_p_w_picpath019[4]")
Niit域下的DNS转发器地址填电脑A的IP地址
![clip_p_w_picpath021[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009937CUQf.jpg "clip_p_w_picpath021[4]")
步骤7:分别在2台电脑上提升域和林的功能级别。以实现2003上更多的功能。下面以提升benet.com为例,首先打开AD域和信任关系,右击benet.com选择“提升域功能级别”,选择级别为“windows server2003”。如下图所示。
![clip_p_w_picpath023[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009940uTIL.jpg "clip_p_w_picpath023[4]")
接下来提升林功能级别。右击“AD域和信任关系”选择“提升林功能级别”,选择林功能级别为“windows server 2003”。
![clip_p_w_picpath025[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009941b8PE.jpg "clip_p_w_picpath025[4]")
![clip_p_w_picpath027[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009942M1G9.jpg "clip_p_w_picpath027[4]")
步骤8:建立信任关系。这里以benet.com为例做信任关系。
![clip_p_w_picpath029[4]](https://s1.51cto.com/attachment/201102/6/201995_12970099432aHX.jpg "clip_p_w_picpath029[4]")
![clip_p_w_picpath031[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009945NH79.jpg "clip_p_w_picpath031[4]")
![clip_p_w_picpath033[4]](https://s1.51cto.com/attachment/201102/6/201995_12970099467Cog.jpg "clip_p_w_picpath033[4]")
![clip_p_w_picpath035[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009947OUm5.jpg "clip_p_w_picpath035[4]")
![clip_p_w_picpath037[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009949QO9A.jpg "clip_p_w_picpath037[4]")
![clip_p_w_picpath039[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009950x0JB.jpg "clip_p_w_picpath039[4]")
![clip_p_w_picpath041[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009951Qtyi.jpg "clip_p_w_picpath041[4]")
![clip_p_w_picpath043[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009952ovZ3.jpg "clip_p_w_picpath043[4]")
同样的方式在niit.com上做信任关系。(省略)
步骤9:手工验证信任关系。(在两个域中都要通过验证)
![clip_p_w_picpath045[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009956At6P.jpg "clip_p_w_picpath045[4]")
![clip_p_w_picpath047[4]](https://s1.51cto.com/attachment/201102/6/201995_12970099587ZzX.jpg "clip_p_w_picpath047[4]")
在上图中选择“属性”,然后点击“验证”,输入用户名和密码,可看到“该信任已经过验证……”
步骤10:把niit.com的全局组G加到benet.com的域本地组DL,实现AGDLP。
首先打开电脑a中的DL属性→成员,把查找位置修改为niit.com,如果看不到niit.com,可以重启下电脑。在输入对象名称来选择框中,手工输入“G”,单击确定。
![clip_p_w_picpath049[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009960Yos7.jpg "clip_p_w_picpath049[4]")
![clip_p_w_picpath051[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009962nk9y.jpg "clip_p_w_picpath051[4]")
步骤10:验证。
在xp这台机上用在niit.com上建立的用户c登录到niit.com域中然后在去访问a机中的共享文件。
![clip_p_w_picpath053[4]](https://s1.51cto.com/attachment/201102/6/201995_1297009965PPrR.jpg "clip_p_w_picpath053[4]")
【注意点】:
上面实验可不需要提升域/林功能级别,我习惯性的多此一举。
外部信任:是指在不同林的域之间创建的不可传递的信任。
林信任:外部信任为不同域间跨域访问提供了方法,可两个林中有许多域,要跨域访问资源就需要创建很多个外部信任,这种方法就显得不太现实,这就引出了林信任,只用在林根域之间建立林信任就不需要创建多个外部信任,在为林信任是可传递的。注:实现林信任,前提条件,林功能级别为windows server2003,域功能级别可为windows 2000 本机/wndows server 2003。
林中的域的信任关系是可传递的。如域A信任域B,域B信任域C,即域A信任域C。而外部信任不能得出这结果。信任方向有单向和双向两种。其中单向分为内传和外传两种。内传指指定域信任本地域,外传指本地域信任指定域。双向指两个域之间有两个方向上的两条信任路径。如域A做单向外传指向域B,则域B可访问域A资源。
“把niit.com的全局组G加到benet.com的域本地组DL,实现AGDLP“。上面是设置的DL的成员,也可以换个角度,设置G隶属于DL。(在实验中发现需要重启电脑a才能看到niit.com,但是在b上设置G隶属于时不需要重启就能看到benet.com中的成员)
转载于:https://blog.51cto.com/2189440bop58/490614
526
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
