第六章 多域间访问(AGDLP)

最新推荐文章于 2023-08-21 18:53:52 发布
最新推荐文章于 2023-08-21 18:53:52 发布
阅读量439 收藏
点赞数
文章标签: windows eclipse java-ee tomcat 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_68000565/article/details/123901116
版权

**一般用单域。当一个公司有多个子公司,用户账户和资源比较多时,如果用单域,效率会变低,因此会用多域结构

************
域树;连续名称空间的多个域,域名后缀相同,第一个域为根,

*单个域也可构成一个单域的域树

*向域树中添加的任何新域---子域

*子域域名:子域本身的名字和父域域名结合而成的DNS名称

**************
林:多个或单个域树组成

**林中不同域树不共用连续的名称空间

*所有域共用相同的配置,架构和全局编录

*林中的第一个域为林的根域

*林根域中有两个预定义的组
enterprise admins(企业管理组):对整个林作修改(如:添加子域)

schema admins(架构管理组):作架构修改(如:部署exchange时需要扩展AD架构

!!要确保服务器能正确解析林内域的域名,要求使用的账户凭据应该是林内enterprise admins组的成员


!!!如果子域处于异地分公司,可能与总部之间的链路带宽比较小,建议在子域中至少有一台GC(全局编录)

***************

    林中的信任

*信任:可以使一个域(林)中的用户由另一个域(林)中的域控制器来验证

*winNT 4.0,信任被限制在两个域之间,且信任关系单向不可传递

*win2000后,所有信任都是双向可传递信任

***********
林中跨域访问:(信任关系自动建立,双向可传递),但只是前提,还需要设置权限,才能成功跨域访问

**
*一般用户账户所在的域(账户域),资源所在的域(资源域)


1,两个域的dns能够解析对方的域名,

2,账户域将用户账户加入全局组,
3,在资源域创建本地域组,将账户域全局组加入进来

4,赋予本地域组相应的权限

AGDLP:A(账户)G(全局组)DL(本地域组)P(赋予权限)


===================
    林间信任

**同一个林:自动创建可传递双向
不同的林:需要手动创建(外部信任和林信任)

**外部信任特点:
1,手动建立

2,信任关系不可传递

3,信任方向:双向和单向(单向:内传和外传)

*内传:指定域信任本地域(资源域)

外传:本地域信任指定域

********
林信任:林根域间建立林信任(可传递)。前提是保证林功能级别为win2003以上
访问资源时同样适用AGDLP规则

 

淮殃
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
多域资源共享访问(AGDLP策略)
12-05
多域资源共享访问(AGDLP策略) 多域资源共享访问是指在不同的域之实现资源共享访问AGDLP 策略是实现这种共享访问的常见方法。AGDLP 策略是指Account(帐户)、Global Group(全局组)、Domain Local Group...
文件服务器资源共享策略,多域资源共享访问(AGDLP策略)
weixin_39875842的博客
08-05 598
目的:用AGDLP来实现访问其它域的文件服务器.或打印服务器.下面实现的是文件服务器的访问.AGDLP意思是:A( 帐户),加入G(全局组),再加到对方域的DL(域本地组),分配P(权限).存在3台机器,一台DC(nwtrader.msft),一台DC(contoso.msft),一台加入域的客户端.(vmxp.contoso.msft).即能用contoso.msft的用户访问nwtrader....
AGUDLP原则与应用
正月十六工作室
06-11 6919
A表示用户账号,G表示全局组,U表示通用组,DL表示域本地组,P表示资源权限。A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。 假设,公司有两个域,A和B,A中的5个财务人员和B中的3个财务人员都需要访问B中文件共享服务器的“FINA”文件夹,这时,你可以在B中建一个DL,因为DL的成员可以来自所有的域,然后把这8个人都加入这个DL,并把FINA的访问权赋给DL。这样做的坏处是什么呢?因为DL是在B域中,所以管理权也在B域,如果A域中的5个人变成6个人,
内网渗透测试:域用户组及域内权限划分
最新发布
Innocence_0的博客
08-21 1111
这又是一个关于域内基础概念与原理的系列,本系列将包含以下几篇文章:《内网渗透测试:内网环境与活动目录基础概念》《内网渗透测试:活动目录 Active Directory 的查询》《内网渗透测试:域用户组及域内权限划分》《内网渗透测试:OU 组织单位》《内网渗透测试:域用户和机器用户》《内网渗透测试:域内权限访问控制》《内网渗透测试:Windows 令牌窃取》《内网渗透测试:Windows 组策略讲解》《内网渗透测试:Windows 组策略后门》
知识点-AGDLP原则
weixin_34062469的博客
03-25 721
英文缩写 AGDLP Account, Global Group, Domain Local Group, Permissions A表示用户账号,G表示全局组,DL表示域本地组,P表示资源权限。A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。 假设,你有两个域,A和B,A中的5个财务人员和B中的3个财务人员都需...
AGDLP/AGUDLP原则
ak4777t的博客
12-07 1305
AGUDLP原则中每个字母都代表什么? 在AD域环境中,我们常常会用AGDLP/AGUDLP原则对组进行管理,每个字母表示的意思如下: A(Account):用户账户 G (Global group):全局组 U (Universal group):通用组 DL (Domain Local group):本地域组 P (Permission):权限 AGDLP原则 该策略是将用户账户添加到全局组中,再把全局组添加到本地域组中,最后再位本地域组分配权限 AGUDLP原则 该策略是将用户账户添加到全局组.
Windows2008网络服务07多域访问.pptx
10-11
Windows Server 2008网络服务中的多域访问涉及到的是在企业环境中,不同域之的通信、资源访问和管理策略。在这一主题中,主要知识点包括NLB群集、故障转移群集、信任关系、林和子域的创建、以及AGDLP规则。 ...
2022年优秀-Windows网络服务多域访问.pptx
11-14
Windows网络服务中,多域访问是一个关键的议题,特别是在大型企业环境中,为了管理和安全性,经常需要将网络划分为多个域。本资料主要探讨了Windows Server 2008中多域访问的策略、信任关系以及相关服务。 ...
AD的安装和将计算机加入域.pdf
08-09
在这里,我们选择新域的域控制器,因为这是第一个域。然后,我们选择“新林中的域”,因为这是一个新的林。接下来,我们需要输入所创建域的域名。 在安装过程中,我们需要选择第二项,因为这步是安装 DNS 的,DNS ...
Active_Directory--域用户与组账户的管理实用.pdf
03-03
然后,在 CMD 里输入命令:csvde –i –f adduser.txt 回车即可同时创建一个或多个用户及信息。 二、用户的漫游 用户的漫游是 Active Directory 中的一项重要功能,管理员可以通过建立共享文件夹和配置文件来实现...
Windows Server 2008 R2 系统管理篇(理论+实战)
04-08
本套教程是企业对外服务基础架构的重要组成部分,视频教程从初级到深入,环环相扣,一步一步渗透企业中的常见技术运用.对于企业网络中的基本核心架构的组成,精选了网络环境的管理、用户管理、共享文件系统的调试和管理,以及DHCP、DNS、Active Directory这几个常用的基础服务,并且对于全新出现的Server Core主机的部署与管理进行了详细介绍。
多域访问
ziyu000517的博客
09-14 656
1、请写出林、子域、域树的概念。 答:子域:域中添加的任何新域都叫做子域,子域上层的域是父域。子域的域名是由子域本身的名称和父域域名结合而形成的DNS名称。 域树:具有连续名称空的多个域,也就是说在一个域树中,所有域名的扩展名都相同。域树是一种结构,它的第一个域是该域树的根,单个域也可构成一个单域的域树。 域林:单个域树或者多个域树就构成了林。林中的不同域树不共用连续的名称空。林中的所有域共用相同的配置,架构和全局编录。 2、林中信任域的关系是怎样的? 答:信任是域或林之建立的关系,它可
活动目录服务的配置与管理(5) 域组及AGDLP规则
weixin_34266504的博客
03-15 281
组是用户账号的集合,域组的主要作用就是用于分配权限,可以通过向一组用户分配权限而不是向每个用户分配权限来简化管理。例如,如果几个用户需要读取同一文件,应该添加这些用户账户到组中,然后赋予这个组相应的权限。 1 域组的类型   Active Directory内的域组主要分为两种类型:安全组和通讯组。    安全组:安全组主要用来设置用户权限,也可用于电子邮件通讯。 ...
详解AGDLP
weixin_34258838的博客
03-24 205
英文缩写 AGDLPAccount, Global Group, Domain Local Group, Permissions   A表示用户账号,G表示全局组,DL表示域本地组,P表示资源权限。A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。   假设,你有两个域,A和B,A中的5个财务人员和B中的3个财务人员都需...
全局组,域本地组,通用组区别(AGDLP),OU(组织单元)与Group(组)之对比
热门推荐
bytxl的专栏
06-25 1万+
1、本地域组:多域用户访问单域资源(访问同一个域)     本地域组的成员可包括Windows Server2003、Windows 2000或WindowsNT域中的其他组和账户,而且只能在其所在域内指派权限。 2、全局组:   单域用户访问多域资源(必须是一个域里面的用户)     全局组的成员可包括其所在域中的其他组和账户,而且可在林中的任何域中指派权限; 3、通用组:   多域用户
05、AGDLP组的嵌套
weixin_34008933的博客
05-21 187
题目:AGDLP组的嵌套 使用subtree快照,实现AGDLP的组的嵌套 转载于:https://blog.51cto.com/vbers/2118871
AD活动目录中什么是AGDLP策略
weixin_33826268的博客
05-01 228
  这里,A表示用户账号,G表示全局组,U表示通用组,DL表示域本地组,P表示资源权限。A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。 类型 DL域本地组 G全局组 成员范围 所有的域 自己所在的域 使用范围 自己所在的域 所有的域 假设,你有两个域,A和B,A中...
多域访问笔记
weixin_34178244的博客
09-08 87
多域访问域树子域林林的根域Enterprise Admins(企业管理组)可以对活动目录中的整个林做修改Schema Admins(架构管理组)可以对活动目录中的整个林做架构修改创建林在新林中新建域创建子域在现有林中新建域多域控在现有域中添加域控制器创建林中域树使用高级模式安装新建域树根不是新子域林中域之的信任关系是默认创建自动建立传递信任双向信任林中跨域访问AGDLP将...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值