活动目录实战系列四(建立林信任)

ad域控林的概念-概述说明以及解释1.引言1.1 概述在AD域控林的概念中，"AD" 是Active Directory的缩写，它是微软公司开发的一种目录服务，用于中小型企业或大型企业管理网络用户、计算机和其他设备。

而"域控林"则是指将多个AD域（Domain）通过域间信任（Trusts）关系连接在一起，形成一个逻辑上的林（Forest），实现统一管理和集中控制的架构。

AD域控林的概念为企业提供了一种灵活而高效的管理网络资源的方式，能够实现跨域资源共享、集中权限管理、统一安全政策等功能。

通过建立AD域控林，企业可以实现资源的统一管理和集中化管理，提高了系统的可靠性和安全性。

总的来说，AD域控林为企业提供了一种强大的网络管理架构，能够满足复杂的管理需求，提高系统的可靠性和安全性，是现代企业网络管理的不可或缺的重要组成部分。

1.2 文章结构文章结构主要分为引言、正文和结论三部分。

在引言部分，将通过概述、文章结构和目的介绍ad域控林的基本概念和写作目的，引导读者对本文主题有一个整体的了解。

在正文部分，将主要从ad域控林的定义、组成和优势三个方面展开介绍，分别对ad域控林的概念进行详细解读，介绍其由哪些组成部分构成，以及ad域控林相比其他体系的优势所在。

在结论部分，将总结ad域控林的重要性，展望其未来发展方向，并通过结语对全文进行一个简要的总结，为读者留下深刻的印象。

1.3 目的目的部分主要介绍了本文讨论ad域控林的目的和意义。

在当今的信息化时代，企业和组织面临着日益复杂的信息技术环境和安全挑战，ad 域控林作为一种新型的网络架构解决方案，具有较强的应用前景和市场需求。

本文旨在深入探讨ad域控林的定义、组成和优势，帮助读者了解ad 域控林的基本概念和作用，推动其在实际应用中的推广和发展。

通过本文的阐述，读者将对ad域控林有更深入的了解，为其在企业和组织中的应用提供参考和指导。

ISA练习一、单选在本学期实验平台中，哪台计算机承担了DC的角色（）。

A．DenverB．IStanbulC．BerlinD．wuhanISA Server 2006中最多可以支持的网络数量为（）。

A．1个B．2个C．3个D．3个以上在ISA Server中通过发布规则发布使用SSL保护的网站时，需要开启的端口为（）。

A．80B．8080C．43D．443（A）你是的一位安全管理人。

该网络由一个命名为.的单活动目录域组成。

该网络包含Windows XP Professional客户端电脑和Windows Server 2003组成。

你安装证书服务来为员工签发email加密证书和Web站点认证证书。

当员工离开公司时，你撤销证书。

TestKing e-mail and Web应用采用强证书撤销检查。

需要你减少花费在查找需要撤销的证书和处理撤销的时间。

你还需要减少对网络性能负面影响。

你会怎么做？A．在Certification Authority控制台，打开Revoked Certificates属性。

设置Delta CertificateRevocation List (CRL) publication的时间间隔为一小时。

B．在Certification Authority控制台，打开Revoked Certificates属性。

设置full Certificate Revocation List (CRL) publication的时间间隔为一小时。

C．在Certification Authority控制台，highlight Revoked Certificates，然后在你撤回一个证书之后选择选项：publish a full CRL。

D．在Certification Authority控制台，highlight Revoked Certificates，然后选择Refresh option.。

Windows域信任关系建⽴不懂什么是AD域服务信任关系的⼩伙伴先不要着急去上⼿部署建议先看⼀下( •_•)操作环境：windows 2000的两个独⽴域与（域已经建⽴好了）。

的⽹段为192.168.0.x，域管理服务器所在的IP为192.168.0.1，机器名为aa。

的⽹段为192.168.3.x，域管理服务器所在的IP为192.168.3.1，机器名为bb。

两个域⽤VPN建⽴好连接，可互相ping通。

操作⽬的：建⽴互相信任的关系（单向信任关系也可参考，基本相同）。

操作过程：# 1、建⽴DNS。

DNS必须使⽤服务器的，⽽不能使⽤公⽹的，因为要对域进⾏解析。

由于在和上的步骤相同，故只以为例。

在192.168.0.1上打开管理⼯具->DNS->连接到计算机->这台计算机（做为⼩公司，⼀般域服务器也⽤于DNS的解析）。

在其正向搜索区域⾥新建区域->Active Directory集成的区域，输⼊，区域⽂件就叫.dns好了，然后完成。

右击新建的，选择属性->常规，把允许动态更新改变为是。

然后在正向搜索区域⾥新建区域->标准辅助区域，输⼊，IP地址输⼊192.168.3.1，然后完成。

右击新建的，选择从主服务器传输。

在反向搜索区域⾥新建区域->Directory集成的区域，输⼊⽹络ID192.168.0，然后完成。

右击新建的192.168.0.x Subnet，选择属性->常规，把允许动态更新改变为是。

现在的DNS已经建⽴好了，的也按此建⽴。

在192.168.0.1上进⾏测试，注意：DNS的传输可能需要⼀定的时间，最好在半个⼩时到⼀个⼩时后进⾏测试。

（1）测试域名解析：ping 正常的为Pinging [192.168.0.1] with 32 bytes of data:Reply from 192.168.0.1: bytes=32 time<1ms TTL=64Reply from 192.168.0.1: bytes=32 time<1ms TTL=64Reply from 192.168.0.1: bytes=32 time<1ms TTL=64Reply from 192.168.0.1: bytes=32 time<1ms TTL=64Ping statistics for 192.168.0.1:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms这说明域已经解析好，如果ping 也能得到类似的响应，说明的解析也完成。

第一章活动目录(Active Directory)综述内容摘要Windows 2000 操作系统的功能非常强大，用户要了解如何实现这些功能，以及它对完成企业目标能够提供哪些帮助,首先必须了解其核心：活动目录目录服务。

活动目录在实施组织的网络，进而实现组织的商业目标中占有重要地位。

通过本章学习,您将了解到以下一些主要内容：目录服务和活动目录的概念活动目录的优点活动目录的逻辑结构组织信息在逻辑结构中的流通活动目录的安全机制活动目录的目录服务模块考点提示本章主要概括了活动目录中的主要概念性知识，读者应重点熟悉以下内容：逻辑结构/物理结构的作用和区别信任关系1.1 目录和目录服务一般来说，目录是用来存储信息的信息源,如电话簿用来存储电话号码、文件系统用来存放文件信息。

而在计算机网络上下文环境中，目录（又称数据存储区）是存储网络对象信息的分层结构。

对象包括共享资源，如服务器、共享卷和打印机；网络用户和计算机帐户；域、应用程序、服务、安全策略，以及网络上的其他所有内容。

以下是网络目录可能存储的、与特殊对象类型有关的、特定种类信息的一个示例：一般情况下，目录会存储用户帐户的用户名、密码、电子邮件地址、电话号码等信息。

用户通过目录服务来使用目录中的信息，如用户可能需要使用网络中的某样资源，如打印机，但不知道它在网络上确切位置，有了目录服务，用户只要了解该打印机的一项属性，就可以通过查询活动目录来使用它。

我们可以把目录服务看作既是一个管理工具，同时也是一个面向最终用户的工具。

系统管理员用它可以定义、安排和管理对象（如打印机、用户）及其特征，以使它们能被用户和应用程序使用；而用户可以用它来获得感兴趣的信息。

换一个角度，理解目录服务就是要理解它和目录的不同之处：它既是目录信息源，又是使信息对管理员、用户、网络服务和应用程序有效并可用的服务。

理想情况下，目录服务会使物理拓扑和协议（两个服务间传输数据所用的格式）透明化；这样，即使用户不知道资源的物理连接位置和连接方法，也能够访问资源。

《活动目录管理及维护》单科结业测试
考试说明：
1. 考试形式为闭卷，考试时间为90分钟。

2. 考试内容包括15道选择题（30分）和1道机试题（70分），满分合计100分。

3. 请将选择题的答案写在答题纸上，机试题以电子形式提交实验报告。

一、选择题（共15题，每题2分）
能的原因是（）。

(选择一项)
a) 用户所使用的域用户帐户在AD中不存在
实现的操作是（）。

(选择二项)
a) 域的用户可以访问域的资源
二、机试题（共70分）
在两台安装有Windows Server 2008的虚拟机中完成如下任务，并提供电子版的实验报告（包含关键步骤、配置命令及验证结果的截图）。

1．部署Windows域，域中包含两台DC，DC01为域中第一台域控制器，DC02为额外域控制器。

域名为，林和域功能级别为Windows Server 2008。

（40分）2．按部门创建如下OU：人事部、行政部、财务部、产品部和销售部。

（10分）
3．在行政部OU中创建如下域用户帐户：zhangxiaoting、wangxiaowen和xiaxue，要求用户在第一次登录到域时更改密码。

（10分）
4．行政部OU下帐号，登录桌面背景，为提供的1.jpg图片。

（10分）。

活动目录详解(基础篇)我们知道WIN2K系统最大的突破性和成功之一就在于它全新引入的“活动目录（Active Directory）服务”，使得WIN2K系统与Internet上的各项服务和协议更加联系紧密，因为它对目录的命名方式成功地与”域名“的命名方式一致，然后通过DNS 进行解析，使得与在Internet上通过WINS解析取得一致的效果。

活动目录也说明了Microsoft在网络结构方面的策略转移，虽然在以前NT时代也有部分产品（如EXCHANGE SERVER、IIS等）提供过类似于活动目录的服务，然而活动目录作为一个全新的综合服务方式是在WIN2K的诞生后随之而来的。

活动目录的身影似乎在整个WIN2K系统中无处不在。

然而要真正了解“活动目录”的方方面面又谈何容易，下面就想通过一些通俗的讲解花几个篇章对活动目录的各主要方面作一详尽的分析，希望对那些对WIN2K的活动目录还存有畏惧心理的新手一个全面认识的机会。

一、活动目录的由来谈到活动目录最使人容易想起的就是DOS下的“目录”、“路径”和Windows9X/ME 下“文件夹”，那个时候的“目录”或“文件夹”仅代表一个文件存在磁盘上的位置和层次关系，一个文件生成之后相对来说这个文件的所在目录也就固定了（当然可以删除、转移等，现在不考虑这些），也就是说它的属性也就相对固定了，是静态的。

这个目录所能代表的仅是这个目录下所有文件的存放位置和所有文件总的大小，并不能得出其它有关信息，这样就影响到了整体使用目录的效率，也就是影响了系统的整体效率，使系统的整个管理变得复杂。

因为没有相互关联，所以在不同应用程序中同一对象要进行多次配置，管理起来相当繁锁，影响了系统资源的使用效率。

为了改变这种效率低下的关系和加强与Internet上有关协议的关联，Microsoft公司决定在WIN2K中全面改革，也就是引入活动目录的概念。

理解活动目录的关键就在于“活动”两个字，千万不要将“活动”两个字去掉而仅仅从“目录”两个字去理解，那你我理来理去一定还是不能脱离原来在DOS下目录或Windows9x下的文件夹，正因为这个目录是活动的，所以它是动态的，它是一种包含服务功能的目录，它可以做到“由此及彼”的联想、映射，如找到了一个用户名，就可联想到它的账号、出生信息、E-mail、电话等所有基本信息，虽然组成这些信息的文件可能不在一块。

AD活动⽬录域信任关系图解AD活动⽬录域信任关系图解有时候要给学员们讲解AD活动⽬录域信任关系，所以特地写了这篇⽂章来说明信任是在域之间建⽴的关系。

AD活动⽬录域信任关系就是可以使⼀个域中的⽤户由其他域中域控制器进⾏⾝份验证。

⼀个林中的域之间的所有 Active Directory 信任都是双向的、可传递的信任。

如下图所⽰:域 A 信任域 B，且域 B 信任域 C，则域 C 中的⽤户可以访问域 A 中的资源（如果这些⽤户被分配了适当的权限）.只有 Domain Admins 组中的成员才能管理信任关系.信任协议域控制器使⽤两种协议之⼀对⽤户和应⽤程序进⾏⾝份验证：Kerberos version 5 (V5) 协议或 NTLM。

Kerberos V5 协议是 Active Directory 域中的计算机的默认协议。

如果事务中的任何计算机都不⽀持 Kerberos V5 协议，则使⽤ NTLM 协议.信任⽅向单向信任: 单向信任是在两个域之间创建的单向⾝份验证路径。

这表⽰在域 A 和域 B 之间的单向信任中，域 A 中的⽤户可以访问域 B 中的资源。

但是域 B 中的⽤户⽆法访问域 A 中的资源。

单向信任可以是不可传递信任，也可以是可传递信任，这取决于创建的信任类型。

双向信任: Active Directory 林中的所有域信任都是双向的、可传递的信任。

创建新的⼦域时，系统将在新的⼦域和⽗域之间⾃动创建双向可传递信任。

在双向信任中，域 A 信任域 B，并且域 B 信任域 A。

这表⽰可以在两个域之间双向传递⾝份验证请求。

双向关系可以是不可传递的，也可以是可传递的，这取决于所创建的信任类型。

信任类型包括外部信任(不可传递)、快捷⽅式信任(可传递)、领域信任（可传递或不可传递）、林信任(可传递)。

下⾯以实例讲解配置两个域之间的信任关系。

域A:域B要求域A <—> 域B 两个域相互信任，部分⽤户资源互访。

《计算机网络》实验报告实验序号：实验3 实验项目名称：windows 网络域的实现一、实验目的及要求活动目录的基本概念活动目录的规划与安装域控制器的管理用户账户和计算机账户的管理组和组织单位的管理资源发布和域的管理二、实验设备（环境）及要求两台windows2003服务器三、实验容与步骤2.1 概述2.1.1 活动目录简介2.1.2 活动目录的三种特性集成性深入性易用性活动目录的逻辑结构1．域（Domain）域是活动目录中逻辑结构的核心单元，活动目录包含一个或多个域，每个域均有自己的安全策略以及与其他域的信任关系，因此，域是网络安全管理的边界。

也就是说，域的所有对象均处于一个安全管理单位，域和域之间的关系是不同安全管理单位之间的关系。

域是复制的单位。

每个域均可以有一个或者几个域控制器（Domain Controler）。

户的创建、删除、停用、移动等。

4．管理组和组织单位。

四、实验结果与数据处理2.2.2 安装活动目录（1）安装活动目录具体步骤如下：步骤一，启动Windows Server 2003系统自动打开“Server 2003配置服务器”窗口，或者选择“开始”/“程序”/“管理工具”/“配置服务器”，打开如图2-1所示配置服务器向导窗口。

步骤二，单击“下一步”，出现一个配置服务器向导的预备步骤窗口，以确认所提到的步骤已完成。

单击“下一步”，出现检测网络设置窗口，如图2-2所示。

步骤三，接下来出现配置选项窗口，我们选择“自定义配置”选项，单击“下一步”，出现服务器角色窗口，也就是你想让你的服务器担任的角色，我们从列表中选择“域控制器”。

如图2-3所示。

单击“下一步”按钮，出现确认窗口，以确认选择了正确角色。

单击“下一步”，出现“Active Directory安装向导窗口”,如图2-4所示。

也可省去前面步骤，直接通过“开始”/“运行”，打开“运行”对话框，输入dcpromo 命令，单击“确定”按钮2.2.2 安装活动目录（2）2.2.2 安装活动目录（3）步骤四，单击“下一步”，打开“操作系统兼容性”对话框。

活动目录的安装与windows 2000 server不同，为了安全起见，windows server 200 3初始安装时几乎不提供任何的服务。

因此，安装活动目录与其他服务器一样，也需要有系统管理员手工安装，从而将普通的服务器升级到域控制器。

2.1.1 记录与设置服务器的相关的参数将windows server 2003升级到域控制器时候，首先应对计算机的相关的参数的设置。

以administration登陆到windows server 2003计算机，显示网络连接属性，查看当前的TCP/IP地址,如下图所示：注意：对于要升级到active directory服务器的计算机来说，首选DNS服务器必须设置为本机的IP地址。

2.1.2 升级到活动目录所谓域控制器，其实就是安装了活动目录的windows server 2003的计算机。

第一步：用administration登陆到windows server 2003计算机上，在“开始”——“允许——“dcpromo”，开始进行活动目录的安装。

在“操作系统的兼容性”对话框中单击“下一步”按钮。

显示“域控制器类型”对话框。

如下图：第二步：选择“新域的控制器”单击“下一步“按钮，弹出“创建一个新域“对话框。

第三步：选择“在新林中的域“单击”下一步“，显示”新的域名“对话框。

第四步：输入““，单击”下一步“，显示“NETBIOS域名”对话框，在此选择默认即可。

第五步：单击“下一步“按钮，显示”数据库日志文件夹“对话框，选择默认即可。

第六步：单击“下一步”按钮，显示”共享系统卷“设置对话框，选择默认即可。

第七布：单击“下一步”按钮，选择“在这台计算机上安装并配置DNS服务器，并将这台DNS服务器设置为这台计算机的首选DNS服务器。

”第八步：单击“下一步”按钮，显示权限设置对话框，在此选择“只与windows 2003或windows server 2003操作系统兼兼容的权限”如果网络中有以前的网络操作系统，选择“与windows 2000之前的操作系统兼容的权限”。