互设条件转发器(DNS)
外部信任
11
外部信任的特点
手工建立
林之间的信任关系需要手工创建
信任关系不可传递 信任方向有单向和双向
单向分为内传和外传两种 外部信任 内传指指定域信任本地域 外传指本地域信任指定域
无信任关系 双向信任
12
创建外部信任
双向信任
在两个域之间有两个方向上的两条信任路径 例如：域A信任域B，域B信任域A
传递信任
信任关系是可传递的 例如：域A直接信任域B，域B直接信任域C,则域A信 任域C
8
查看信任关系
父子信任：在同一个域树中父域和子域之间 树根信任：在同一个林中两个域树根域之间
教员演示操作过程
9
林中跨域资源访问
两种方式实现跨域访问
使用账户登录账户域计算机，通过网络访问资源域的 资源 使用账户域账户在资源域计算机上登录从而访问资源 域资源
AGDLP含义
将用户账户加入全局组 将全局组加入本地域组 给本地域组赋权限
使用AGDLP简化了权限的管理
10
林之间的信任
林之间的信任分为外部信任与林信任 外部信任是指在不同林的域之间创建的不可传递的信任 创建外部信任需要两个域能互相解析对方
20
创建林信任
创建林信任与创建外部信任方法类似
不同的是需要升级林功能级别为Windows Server 2003或更高：提升林功能级别方法如下
教员演示操作过程
21
Hale Waihona Puke 建林信任方法同外部信任22
林间跨域访问资源
与林内跨域访问一样，还需设置正确访问权限 才能成功访问资源 应用AGDLP规则
被信任域的帐户加入到被信任域的全局组 被信任域的全局组加入到信任域的本地域组 给信任域的本地域组设置权限
23
本章总结
林、域树和子域 创建林、域树和子域 林、域树、子域 林中的信任关系 林中跨域访问 多域间访问 创建外部信任 林之间信任 创建林信任
林间跨域访问资源
24
25
4

林的根域
在林中创建的第一个域叫做林的根域 林根域有两个预定义的组
Enterprise Admins Schema Admins
可以对活动目录中的整 个林作修改，例如添加 子域
可以对活动目录中整个 林作架构修改
5
创建林、域树和子域
确认安装DC条件 创建林 创建另外一棵域树(见AD-多域配置） 创建子域(见AD-多域配置）
如果两个林中有许多域，要跨域访问资源就需要创建 很多个外部信任 在林根域之间建立林信任就不需要创建多个外部信任， 因为林信任是可传递的
林信任的特点
林功能级别为Windows Server 2003或更高才能创建 只有在林根域之间才能创建 建立林信任后，两个林中每个域之间的信任关系是可 传递的 信任方向有单向和双向两种
本章结构
林、域树和子域 创建林、域树和子域 林、域树、子域 林中的信任关系 林中跨域访问 多域间访问 创建外部信任 林之间信任 创建林信任
林间跨域访问资源
1
林、域树和子域
林、域树和子域都是活动目录的逻辑单元 可以将网络划分成树状层次结构
林
父域 域树 父域 子域 子域 子域 域树
2
域树和子域
域树是共用连续域名空间的Windows域 向域树中添加的任何新域都叫做子域
树的根域 父域


子域
3
林
单个域树或者多个域树构成林 林中的不同域树不共用连续的域名空间
林的根域
林

域树

域树

Accp .net

教员演示操作过程
6
林中的信任关系
信任是域之间沟通的桥梁，域之间访问需要有信 任关系
访问
帐户域

信任
资源域


7
林中信任关系特点
自动建立
在创建子域或域树时自动创建（同一个林内）
在AD域和信任关系控制台中右击域名-属性-信任
教员演示操作过程
13
创建外部信任
新建信任-输入另一域名
14
创建外部信任
选择信任方向
15
创建外部信任
选择本地域和指定域之间创立信任关系
16
创建外部信任
输入指定域的用户名和密码
17
创建外部信任
选择验证范围
18
确定传出信任和传入信任
19
林信任
林信任的意义