苏州白马涧规划:多域之间的共享访问AGDLP策略 - net学无止境 - 51CTO技术博客

来源:百度文库 编辑:九乡新闻网 时间:2024/07/14 00:54:27
域之间的共享访问AGDLP策略 2011-02-07 00:26:25标签:windows 虚拟机 新建

AGDLP意思是A(账户)加入G(全局组),再加到对方域的DL(域本地组),分配P(权限)。

实验目的:用AGDLP来实现访问其它域的共享文件。

试验准备:

新建一个分组,放三个虚拟机a,b,xp,其中a,b是windows 2003,在b机中设置双网卡。一个为10网段,一个为192网段。xp也是双网卡,一块网卡连接b,一块连接a。

分别设置三台机的密码为suntong_258,后面试验用的的密码均设置为该密码。

拓扑图:

虚拟机下虚拟网卡的设置如下:

拓扑说明:把所有网卡放在局域网1中,b电脑和xp设置双网卡,设置好相应的IP后,三台电脑应该能互相ping通的。其实也可以不设置双网卡,而是给一块网卡配置2个IP地址,效果一样。本实验采用双网卡做。另外,如果实验拓扑图如下的话,默认情况下即使不配置权限,xp也是ping不通a电脑的,在测试时需要在b上设置NAT。

注意:在配置IP的时候需要将b机的192网段的DNS不填,只填写10网段的

而XP中则10网段的DNS需要填写,192网段的不填,否则会出现DNS错误等提示。

实验目的:利用AGDLP规则使niit.com下的用户能访问benet.com下的共享文件。

步骤1:拓扑图设置好计算机名,IP地址,dns地址,分别提升2台2003的电脑为域控(在不同的林中),把xp加入域niit.com。

步骤2:在benet.com下建立OU取名benet,在里面建立域本地组DL。

步骤3:在niit.com下建立G组及用户c

步骤4:把用户c加入全局组G,即实现了AG。

步骤5:分配P(权限),先在benet.com上建立文件夹share并共享,为了验证结果在share中新建个文本文件st,并为DL组赋予访问权,实现了DLP。

AG说了,DLP也说了,还有最重要的一步,就是把niit上的全局组G加入到bennet上的域本地组DL,这也是最重要的一步,要在一个域里加入其它域里的对象。那么域之间必须存在信任关系。建立信任关系的前提是能相互解释,那么在DNS上必须设置转发器。

步骤6:分别在A,B上是指DNS转发器。

Benet域下的DNS转发器地址填B电脑同网段的IP地址

Niit域下的DNS转发器地址填电脑A的IP地址

步骤7:分别在2台电脑上提升域和林的功能级别。以实现2003上更多的功能。下面以提升benet.com为例,首先打开AD域和信任关系,右击benet.com选择“提升域功能级别”,选择级别为“windows server2003”。如下图所示。

接下来提升林功能级别。右击“AD域和信任关系”选择“提升林功能级别”,选择林功能级别为“windows server 2003”。

步骤8:建立信任关系。这里以benet.com为例做信任关系。

同样的方式在niit.com上做信任关系。(省略)

步骤9:手工验证信任关系。(在两个域中都要通过验证)

在上图中选择“属性”,然后点击“验证”,输入用户名和密码,可看到“该信任已经过验证……”

步骤10:把niit.com的全局组G加到benet.com的域本地组DL,实现AGDLP。

首先打开电脑a中的DL属性→成员,把查找位置修改为niit.com,如果看不到niit.com,可以重启下电脑。在输入对象名称来选择框中,手工输入“G”,单击确定。

步骤10:验证。

在xp这台机上用在niit.com上建立的用户c登录到niit.com域中然后在去访问a机中的共享文件。

【注意点】:

上面实验可不需要提升域/林功能级别,我习惯性的多此一举。

外部信任:是指在不同林的域之间创建的不可传递的信任。

林信任:外部信任为不同域间跨域访问提供了方法,可两个林中有许多域,要跨域访问资源就需要创建很多个外部信任,这种方法就显得不太现实,这就引出了林信任,只用在林根域之间建立林信任就不需要创建多个外部信任,在为林信任是可传递的。注:实现林信任,前提条件,林功能级别为windows server2003,域功能级别可为windows 2000 本机/wndows server 2003。

林中的域的信任关系是可传递的。如域A信任域B,域B信任域C,即域A信任域C。而外部信任不能得出这结果。信任方向有单向和双向两种。其中单向分为内传和外传两种。内传指指定域信任本地域,外传指本地域信任指定域。双向指两个域之间有两个方向上的两条信任路径。如域A做单向外传指向域B,则域B可访问域A资源。

“把niit.com的全局组G加到benet.com的域本地组DL,实现AGDLP“。上面是设置的DL的成员,也可以换个角度,设置G隶属于DL。(在实验中发现需要重启电脑a才能看到niit.com,但是在b上设置G隶属于时不需要重启就能看到benet.com中的成员)

多域之间的共享访问AGDLP策略 - net学无止境 - 51CTO技术博客 精解局域网访问及共享(一) - 许一君的原创技术博客 - 51CTO技术博客 组策略基本功能使用 - jianyungao - 51CTO技术博客 Windows组策略屏蔽U盘有妙法 - 周海鹏微软技术社区 - 51CTO技术博客-领先的... Active Directory中的访问控制 - 王达博客 - 51CTO技术博客 WINDOWS XP 开始→运行→命令 集锦 - 网络与英语共享 - 51CTO技术博客 交换机级联与堆叠的区别 - ckf网安技术小组 - 51CTO技术博客 集线器和交换机的区别 - ckf网安技术小组 - 51CTO技术博客 一个价值千万美金的忠告 - 北京看看 - 51CTO技术博客-领先的IT技术博客 DHCP、网关和DNS地址的捆绑技巧 - 思念狗的骨头 - 51CTO技术博客 DHCP、网关和DNS地址的捆绑技巧 - 思念狗的骨头 - 51CTO技术博客 手把手教你安装VMware虚拟机 - 虚客帝国 - 51CTO技术博客-领先的IT技术博客 在DOS下修改本机IP地址 - 大唐网络 - 51CTO技术博客-领先的IT技术博客 视频会议系统的设计和实现 - 紅③白②藍① - 51CTO技术博客 基于SIP的视频会议系统研究 - 紅③白②藍① - 51CTO技术博客 SIP术语的名词解析 - 紅③白②藍① - 51CTO技术博客 内存不能为READ的原因 - 殇逝 - 51CTO技术博客 开始→运行→输入的命令集锦 - 紫砂狐 - 51CTO技术博客 破解linux的root密码 - 午夜星辰 - 51CTO技术博客 管理故事:飞不出瓶口的蜜蜂 - 熊窝 - 51CTO技术博客 Excel隔行插入空白行小技巧 - Kirin的茶水间 - 51CTO技术博客 Android软键盘的隐藏显示研究 - winux - 51CTO技术博客 暴强贴:从.NET平台调用Win32 API - 上善若水 润物无声 - 51CTO技术博... Cisco IOS 基本命令集 - prozrtr - 51CTO技术博客