場景:兩個森林,一個是net.com域,有子域sub.net.com是父子域,一個是blogcn.com域。我們要實作blogcn.com域信任 net.com域,這樣net.com域内的使用者可以無需輸密碼即可通路blogcn.com域的資源,也可以在blogcn.com域内客戶機上登入到自己的域。這種情況常出現在兩個公司有合作的時候。上述可以分成兩種情況:
1. blogcn.com域和子域sub.net.com域存在某種信任關系。-->外部信任
2. blogcn.com森林和net.com森林存在某種信任關系。 ----->林信任
一、blogcn.com域和子域sub.net.com域存在某種信任關系。-->外部信任
這種信任關系隻在指定的這兩個域之間存在這種信任關系,不會傳遞到其它域。我們可以直接在二者之間做“外部信任”。
假設blogcn.com----->sub.net.com (即前者信任後者)
完成這種信任後:sub.net.com域内的使用者可以在blogcn.com域上登入到自己的域,同時sub.net.com域内的使用者可以無需輸密碼即可通路blogcn.com域的資源。
操作:
我們直接在blogcn.com做單向外傳(箭頭向外),也可以在sub.net.com上做單向内傳(箭頭向内)。
1. 在兩個域的DNS上作DNS轉發,互相指向對應的DNSIP即可。此處就不用再贅述了吧。自己做就可以了。
2. 打開blogcn.com域的“AD域和信任關系”,在blogcn.com域上右擊選屬性,單擊“信任”--建立信任--在信任名稱處填寫“sub.net.com”,單擊下一步,如圖所示:
選“單向:外傳”,在下一步圖中選“這個域和指定的域”,繼續,輸入sub.net.com域的管理者及密碼,再次單擊,如下所示彙總資訊:
這次做的是外部信任,單擊下一步,并選擇“是,确認傳出信任”,建立成功後,如下圖所示:
做好後,我們來驗證一下,通路資源和登入問題。
我們在sub.net.com的DC上利用UNC形式通路\\n3.blogcn.com,如下圖所示:沒有輸密碼就打開了。
登入驗證:把blogcn.com域的DC登出重新登入,會發現sub這個域,選擇sub,并輸入相應的該域的使用者名和密碼就可以登入進去了。當然你如果在blogcn.com域的DC上去驗證還要修改相應的政策,總之這個實驗我們已經成功了。
(二)blogcn.com森林和net.com森林存在某種信任關系。 ----->林信任
我們這次實作兩個森林互相信任,我們希望任意域的使用者都可随意通路任意林任意域的資源等,怎麼做呢?下面我們開始。
1. 首先在兩個林的根DNS上做互相的DNS條件轉發。此處自己解決吧。
2. 提升兩個森林的功能級别全部是2003林功能級别。如下所示:對于net.com林,可以先提升sub.net.com子域和net.com域的域功能級别到windows 2003模式,再提升林功能級别是windows 2003。至于如何提升,不用講了吧,不會的話請留言。懶得寫了。
3. 這次我們在net.com林根上來做。打開domain.msc後,在net.com上右擊--屬性如下圖所示:
單擊信任,你會發現預設的存在“父子信任”,而且不可删除,可傳遞的。
“建立信任”--輸入blogcn.com這個域,再次單擊下一步,出現如下圖所示:
注:如果不提升林功能級别是不會出現這個提示的。
選擇“林信任”,下一步,出現如下圖所示:
選擇“雙向”,下一步,選擇“這個域和指定的域”,下一步,輸入blogcn.com域的管理者和密碼,下一步,如下圖所示:
為了簡單,我們選擇“全林性身份驗證”,最後結果總述如下:
後面一定選擇“是,傳出信任”,最後完成後如下圖所示:
其實在blogcn.com的DC上的domain.msc上也可以看到。至于驗證就不用了。這樣兩個森林做到了互相信任,資源通路沒有任何問題了,如果想删除信任關系,直接在上圖中選中後,單擊“删除”就可以了。
終于寫完了,一邊寫一邊做實驗帶截圖,真有些麻煩。好了,下次再見了。
本文轉自 jary3000 51CTO部落格,原文連結:http://blog.51cto.com/jary3000/122234,如需轉載請自行聯系原作者
![Windows系統下通過CMD指令行或運作視窗打開常用附件和功能[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)