多域之间资源共享访问(AGDLP策略).doc

多域之间资源共享访问(agdlp策略)目的:用agdlp来实现访问其它域的文件服务器.或打印服务器.下面实现的是文件服务器的访问.agdlp意思是:a( 帐户),加入g(全局组),再加到对方域的dl(域本地组),分配p(权限).存在3台机器,一台dc(nwtrader.msft),一台dc(contoso.msft),一台加入域的客户端.(vmxp.contoso.msft).即能用contoso.msft的用户访问nwtrader.msft的共享文件即可.拓朴为:先在各自域建立组和用户.如下:在nwtrader.msft建立dl组.在contrader.msft建立g组及c用户.把用户c加入全局组g即实现了ag用于分配p(权限).那先在nwtrader.msft上建立文件服务器.并为dl组赋与访问权.实现了dlp为了验证结果,还在share里面建立了一文本.contoso.msft上的用户c能过来访问.即实现了agdlp.ag说了,dlp也说了.还有最重要的一步没做,就是把contoso上的全局组g加入到nwtrader上的域本地组dl,这也是最重要的一步.要在一个域里加其它域里的对象.那么域之间必须存在信任关系.下面就实现如何在两域之间建立信任关系.建立信任关系前提,必须能相互解释.那么在dns上设置转发器即可.确定相互解释成功.接差下来就是提升域和林的功能级别.以实现2003上更多的功能.下面终于可以建立信任关系啦.设置信任类型,信任方向.做的是双向，说明两个域之间的资源都可相互访问。身份验证.信任密码,用于确认信任关系.信任完毕,是否传出信任,传入信任.我这里没有设置,等建立完后再验证.信任完毕.contoso.msft做同样操作.建完信任关系后,可手工验证信任关系.现在可以实现把contoso.msft.的全局组g加到nwtrader的域本地组dl.那么agdlp的全过程就实现了.下面看如何把contoso.msft.的全局组g加到nwtrader的域本地组dl.由于成功的信任关系存在,所以在nwtrader.msft这个域能看到contoso.msft以上,agdlp for文件服务器的实现操作结束.回顾一下,我们做了在contoso.msft上把用户c加到全局组,再把contoso.msft的全局组加到nwtrader,msft的域本地组,再为域本地组分配权限.剩下的就是验证结果.在contoso.msft上设置了nat.只是为了验证一下客户端能否访问文件服务器.在vmxp.contoso.msft上用c登录.小结一下：在上面我们做信任关系时看到的很多按钮，以及相关的概念：外部信任vs林信任外部信任：是指在不同林的域之间创建的不可传递的信任（不考虑4.0的域的信任关系）注：可不需要提升域/林功能级别，我上面多此一举了，习惯。林信任：外部信任为不同域间跨域访问提供了方法，可两个林中有许多域，要跨域访问资源就需要创建很多个外部信任，这种方法就显得不太现实，这就引出了林信任，只用在林根域之间建立林信任就不需要创建多个外部信任，在为林信任是可传递的。注：实现林信任，前提条件，林功能级别为windows server2003,域功能级别可为windows 2000 本机/wndows server 2003。传递信任林中的域的信任关系是可传递的。如域a信任域b，域b信任域c，即域a信任域c。而外部信任不能得出这结果。方向：信任方向有单向和双向两种。其中单向分为内传