多域之间资源共享访问(AGDLP策略)

1、多域之间资源共享访问（AGDLP策略）目的：用AGDLP来实现访问其它域的文件服务器或打印服务器下面实现的是文件服务器的访问AGDLF意思是:A（帐户）,加入G（全局组）,再加到对方域的 DL（域本地组）,分配P（权限）.存在3台机器，一台DC（nwtrader.msft）,台DC（contoso.msft）,台加入域的客户端.（vmxp.c on toso.msft）.即能用contoso.msft 的用户访问nwtrader.msft的共享文件即可.拓朴为：Lab 1 .nwtradcnmsftFileServerIP; 19268.104DNS: 127,0.0. JLab2.conto

2、sojnsfl1P:192.I6SJO.IOIP: 172.16.1 JDNS:127,0,OJV mxfxcofltoso.msfiIP: 172.16,1.2Gateway: 172 J 6.! JDNS:172.16JJ先在各自域建立组和用户.如下：在 nwtrader.msft建立 DL 组.在contrader.msft建立G组及c用户.I®Aclive Directory ffl尸和计算机£文件® 操作（A）查看（Y）窗口址）帮助Q斗|W IISIeS1囤隔|圍 辺邀渤它龟xplW Active Directory用户和计算机*： 口保存的査询厂-岁

3、nwtrader, nsft±i 匚J Builtinyi O Computers_+1 Domain Controllers:甲 PH FofEiEiSE£urityPrincipnw trader1个对躱fDL安全姐-本E立件妁操作直着窗口观帮助團B：E葩|囹E）园|包遁逼汤它辺Q -*ccntosQ+!UsersActive Directory用尸和计爲机cntoso 2 T对象也G类把用尸安全组-全局j2 tlw trader3 - LJ Uers形Active Directory用户和计算机 由二|保存的査询-；諄J contoso. msftEK-J Built

4、in+1 Ccunputrs>1型 Dominin ControilersE I Freigri5ecnrityFrici<把用户c加入全局组G即实现了 AG成员|隶雇于|管理者i常规<5= 4 色舸 x e|x'*!毘）帼1£ Active Directory用户和计篦桃】ccntoso2个对凿保存的查询名称R 券 contoso, msft5E文件（£）操作® 查看（D 窗口址）帮肋QD成员佩）:Lt I Lomputers!+ 型 Bomain C&ntroilers1+ _J Forei gjiSecur i tyPrii

5、icipsl.s 卜®Active Directory 文，contdsos msft/ccpntcscontoso_J User添加用于分配P（权限）.那先在nwtrader.msft上建立文件服务器.并为DL组赋与访问权实现了 DLPZ1 EJ转金I (I共李第规职消确定dH文件夹名称診test, tit -迟爭本为了验证结果，还在share里面建立了一文本.contoso.msft 上的用户c能过来访问.即实现了 AGDLP.|can you see?文件电）編辑 格式© 查看电帮助地址_/ C： share丁件F濡乍苜（I）夫小姿型1 KB文本文档Files安全丨自

6、定文组或用户名称）：恭加帥|删除迅|DL的权限密允许拒绝特别权眼或高级设萱谙单击"高毀顔高级观 |share展性完全控制修改读取和运行 列出文件夹目录写入肛早il#i冶i+nKPFIDL (WTRADERlDL)AAftini我wm (MWTBABERjUQmiTiiahsr &AG说了，DLP也说了 .还有最重要的一步没做,就是把contoso上的全局组 G加入到nwtrader上的域本地组 DL,这也是最重要的一步.要在一个域里加其它域里的对象.那么域之间必须存在信任关系.下面就实现如何在两域之间建立信任关系.建立信任关系前提，必须能相互解释.那么在DNS上设置转发器即可

7、.& a IAB2tl _|正向查找区威±1 I反向查找区域田倉爭件查看器名称-T-_mEtics. contcso. msft类型Activ& Dir.正在运行Activfl Dir.正在运行事件日志接口监观转发器!高级| 安全很提示调试日志LkJ：likJa1 Lid 卽正向查找匿域2亍区裁瞽醵囑黯惡瓷黠蹄歸的啡查询的磁眛脱DBS域:新逮要忝加一个转按器I诸选择一个J跖域在下面龍入转发器的IF 地址，然后单击“潺加”-所选域的转发器的IP地址列表（D :192. 168. 10.1匚文件（D 操作（A）萱着湮）窗口帮助QI）日马LA31t _1正向童找区威 十二1

8、反向查我区域 +剑事件查看器正向查找区域2極域名称i类型状态:盲sd-cs. nwtrader. ms£tActive Dir.F.定在运行当1 nwtradera FftsftActive Dir. L正在运行LO1雇性2ixi转发器是解决那些这台服务器栈育应普的3MS查询的服务 转京要忝加一个转搅器，谙选挥一丫 DNS域在下面褲入转揑黑的IP 地址，然后单击“添加"事件日志丨监视1安全接口转誉器高级根提示调试日志所选域的转发器的IF地址列恚辽）：I92 168.10, 10确定相互解释成功母 文件电） 操作I 香看 窗口 简 輩出1伯1Server: Addressco

9、ntoso _msf t:1?0. 172.16Microsaft WindowsE版本 5*2：3?9®】 CO 版权所有 1985-2003 Microsqft CorpcT C：XVIH)0TSsyst»32X»d exe£ Active Direct 宙口 /呆存的查谊 I- jJ nwtr id&r. n 由 口 Builtii ±- -Pn C omputf :+ DaiD&iik IT- _ Fsrei gi© ndVI nwtradf+.二J Users:M)ocufnents and

10、 Settingsdi文件X)操作(A)查看迪 窗口彩 帮助QD* * |底跑站d | X囹团园住遏翅渤它卷匕；母Activie Directory用户和it負机.】|coatos2个对象接差下来就是提升域和林的功能级别以实现2003上更多的功能* - Actire Directory域初信任关系* - Actire Directory域初信任关系文件0）操作）查看）帮助力目 Active Directory 域:，寧 SiBcontoso. msft"IActive Directory 用丿戻升黴久：con to so. msf t匕 Active Directory bt _保存

11、的查询4 一J Builtincontoso. msftLt O Computwrs contosoW 10 Domain Cord It Q ForeignSecx ® Users当前域功能级别：Windows Server 2003些翳秤许范围内歸的功能级别操作状态。有关域功能级别的详细信息，诸单击关闭帮助文件宙挟作® 查看帮助±i7三 Active Dir&ctcry 域和恒 .jJ trader, msflri文件X)操作(A)直看迪 窗JTActive Directory用尸和计篡机 :L_l傑存的査询nwtrader mz£tL_J

12、BuiltinI Computers+13 DomainCcntrollers_| ForeigjiSecnrltyPrincipanwtraierUJ UsersF面终于可以建立信任关系啦文件0)操作翅 查看 帮助QI)*ja Active_岁 nwtrader. msftDirectory域和肓ffffKTWWKC I 討I信任丨管理者I常规新建信任向导信任名騙您可以用NetBIOS或BH5名来创建信任关系.上一步)下一步®>1取消键入这个信枉的域r林或领威的名称.如果健入林的名称，您必需输入一于DHS名 称"茎例 UetEIOS 名称：suppli erOl-i

13、nt范例 DN5 名称：snppli erOl-internal, mi crcsaft. com电i称）：jcontosd. msftl设置信任类型，信任方向做的是双向，说明两个域之间的资源都可相互访问。nvtrader. »sft 展性窜规信任|管理者|乎2好Q/T从4c# 川I &PZ、小、.新建信任向导信任类型该域是林根域如果指定的域合格，您可以创逹一个林信任。?J2<1选择要创建的信任类型。e 信任一夕卜部信任蹙林外部的两个域之间的不可传递的信任.不可伎递的信任受关 济中的域的约束。f專翳黔个林之间的可传递信任，允许一个林中的任何域中的用户在另 一个林中的任何

14、域中得到身份验证。<上一步d) I下一步) >1取,乎il ritQ/T、小、.新建信任角导为下列域创逹信任关系:G只是送个域 的地域中创建信任关系。信任方如果在两个域中都有适当的权限，您可以创逹双方信任关系。开始在信任上进行。C这个域和指定的域©)身份验证.常规信任|管理者|信任密码，用于确认信任关系；或和它常规信任I管理者1ctory域和信任关系上一步匹下一步)>| 取消 |选择信任完毕新建信任向导已准备好创建信任。您选择了下列信任设置Q)：指定的域：contoso. msft方冷双向：本地域中的用尸可以在指定域中逬行身份验证，指定域中的用戶也 可以在本地域中进

15、行身份验证.*信任类型：外部要对这个信任进行更改'诸单击録上一步”-要创逹信任，诸单击“下一步”.上一步匹下一步)>| 取消 |丄卜FHhH*十占L丸.是否传出信任，传入信任我这里没有设置，等建立完后再验证要确认传岀信任吗？a科确认糊信任'C是，确认传出信任Q)<上一步©)下一步) >| 取消 |信任I曽理者IL卜比RHrtA比 fhl 甘匕X /kiS.信任完毕.contoso.msft做同样操作nvtrader. »s£t 展性常规信任|管理者|乎ZTP/TMT "d r£rfP/T、A.、新建信任向导2&

16、lt;J正在完成新建信任向导您己成功完成新淫信任向导改动状态$): 创建信任关系成功。4細韓糊麟翔翳作要关闭此向导，诸单击“完成"-上1步©1完成1取消1文件卸 操作査看博 耦助址）contsQ. asft 居牲常规信任丨管理者I确定 | 取消应用|/ 11 Users/ 11 Users4畛| |£画|團皋Active DirectoryL.-朝 contoso msft建完信任关系后，可手工验证信任关系i 1身扮验证I任方向迦:可显示的项目°Active Directory髭勰翻溜牖皿35霧飜呼E要ETw任的传递性（X）话需誌普谨弧只砒睡蓿任的蝴户砂

17、御任檢确认边口果需要并重置此信悝关茶，请单击“验駆壽翳蛊矗 说黯議掳鼎證藝学鋅 有关s*是,验证传入信任復）输人在捋定域有营理员权限的帐尸的用户名和密码口用尸名也）：| C a.dbnini str at or密玛迥:R广否，不验证传入信任W确走确走I 輔 IJi性可传递否删除迅）卷的"只有臣接對:重置此信拄关系IV)取消确定取消両用CA1现在可以实现把 contoso.msft.的全局组G加到nwtrader的域本地组DL.那么AGDLP勺全过程就实现了 .下面看如何把contoso.msft. 的全局组G加到nwtrader的域本地组DL.I & E U ©!

18、X QS" 园丨僧 遷澎汤它念迦gl丸ctiv& Directory用戶和计算机 直Cl保存的査询-弄 n-A-trader msft'J L| Emltin+ _| C omputers圧£J Donaiii CoMrollers ffl-Q F orei gnScuri tyFr incipin1* tradern1* traderi个对象iw trader+ LjUiers-描述名称安全粗-本由于成功的信任关系存在，所以在nwtrader.msft这个域能看到contoso.msftIB2DL展性安全组-本±1IB2选择用尸、联系人.计算机或

19、组选择对象类型):±1IB2用户、组或其他对象对象类型(&)I查找位置0):位置©Inwtrader, msft±1选择此对象类型$):羽户和计算机rollers ri t yPrincipa2JI用戶、组或其他对象 查找位置Q):contoso. msft对象类型)位置)I一般性查询I名称):併跖 3描述：3厂禁用的帐戶©) 厂不过期密玛筑)自上次登录后的天数Q)I搜索结果Q!):电子邮件地址名称CRDN)DnsUpdate.JDomain jJDomainDomainSDomainEnt色片p,丄s.Ad. Co. Co.Gu Users允许

20、替艮他 指定的域管理员 加入到域中 域中所有域 域的所有来宾 所有域用戶 企业的指定.:在文件夹中contoso. msf. contoso. msf. contoso. msf. contoso. msf. contoso. msf. contoso. msf. contoso. msf. contoso. msf.PoTT.contoso. msf.这个组中的contoso. msf.nwtrader1亍对赛名称类型描谨1聖皿晏全组二本以上,AGDLP for文件服务器的实现操作结束.回顾一下，我们做了在contoso.msft上把用户c加到全局组， 再把contoso.msft 的全局组

21、加到nwtrader,msft的域本地组，再为域本地组分配权限.剩下的就是验证结果.在contoso.msft 上设置了 NAT.只是为了验证一下客户端能否访问文件服务器在 vmxp.contoso.msft 上用 c 登录.InternetInternet Explorer电子邮件Outlook ExpressWindows Media PlayerWindows Messenger谩游 Windows XF文件和设置转移向导我的文若图片收交我的音乐我的电舱冋上邻居控制面板(£)设定程序访问和默认值打印机和传其its and Settingsx*jc>ping nwtrade

22、r.nsft/trader.nsft ( with 32 bytm ： bytes=32i ： biftes=32 m ： bytes=32m : bytes=32tine<lns tine<lms tine<lns tine=lnsTTL=1TTL=1TTL=1TTL=11stics for ：;s: Sent = 4. Received =:e round trip tines in nilli-seconds: tn = 0ms- Maxi