Windows 多域间的访问
域树:公用连续域名空间的windows域。具有相同的域名后缀。域树的第一个域是域树的根域。单个域构成单个域的树。
向域中添加的任何新域称为子域。由本身的名字和父域域名结合成DNS名。
单个域树或者多个域树构成林。林中不同的域树不共用连续的域名空间。林中的所有域公用相同的配置架构和全局编录。
在林中创建的第一个域为林的根域。存在Enterprise admins schema admins 组。
Enterprise admins 企业管理员组成员,可以对活动目录中的整个林做修改。例如添加子域。
Schema admins  架构管理员组成员 可对活动目录中整个林做架构修改。
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

安装活动目录的条件:
1、  拥有本地管理员权限
2、  操作系统版本(WEB版本除外)
3、  本地磁盘至少有一个NTFS分区
4、  TCP/IP设定。(固定IP
5、  相应的DNS支持
6、  足够的空间

 

创建子域时,管理权限:Enterprise admins domain admins成员。

 

在一个林中创建多域的原因:
1、  部门(或分公司)之间有不同的安全策略要求,可以针对部门或分公司创建域。
2、  有大量的活动目录对象,可以分解成多个域,使每个域活动目录对象较少。
3、  分散网络管理,而不是有一个域管理员管理,多个域多个域管理员。
4、  对复制进行更多的控制。

 

域之间建立信任关系
资源域(信任域):资源所在的域。账户域(被信任的域):信任账户所在的域。

 

林中默认的信任关系:父子信任、树根信任,不可删除的。
信任关系特点:
1、  自动建立。在创建子域或域树时自动建立。
2、  传递信任(可传递的)。A信任BB信任C,则A信任C
3、  双向信任。两个域两个方向上的两条信任路径。

 

林中跨域访问:AGDLP原则
跨域访问的两种方式:
1、  用户试用本域的计算机通过网络方式访问资源。
2、  用户使用资源域的计算机访问资源。

 

林之间的信任:外部信任、林信任
外部信任:在不同的域之间创建的不可传递的信任。
林信任:windows server 2003林特有的信任。Windows server 2003林根域之间建立的信任,提供单向或双向可传递的信任关系。
信任方向:
双向:本地域信任指定域,同时指定域信任本地域。
单向(外传):本地域信任指定域。
单向(内传):指定域信任本地域。

 

由于信任关系是在两个域之间建立的,如果域A(本地域)建立一个单向:外传信任,则需要域B(指定域)必须建立一个单向:内传信任。选择“这个域和指定的域”,就会在指定域自动建立一个单向:内传信任。

 

林间外部信任的特点:
1、  手动建立2、信任关系不可传递 3、信任方向有单向和双向两种。

 

林信任:
前提条件:林的功能级别设置为:windows server 2003。升级林功能级别之前,需要将林中所有域的域功能级别设置为windows 2000纯模式或windows server 2003模式。

 

域的功能级别:                        支持的域控
Windows 2000混合模式    windows NT4.0  windows2000server    windows server 2003
Windows2000本机(纯模式)windows 2000 server   windows  server 2003 家族
Windows  server 2003 模式    windows server 2003 家族
林的功能级别:                        支持的域控
Windows 2000                      windows NT4.0 windows 2000  windows 2003
Windows 2003                      windows  server    2003  

 

林信任的特点:
1、  林功能级别为windows server 2003 才能创建
2、  只有在林根域之间才能创建
3、  信任关系可传递
4、  信任关系为单向和双向两种。