Trust.docx
- 文档编号:18449387
- 上传时间:2023-08-18
- 格式:DOCX
- 页数:15
- 大小:21.55KB
Trust.docx
《Trust.docx》由会员分享,可在线阅读,更多相关《Trust.docx(15页珍藏版)》请在冰点文库上搜索。
Trust
新的AD特性-跨越森林樹系的信任關係
(NewADFeatures-CrossForestTrust)
Windows.NETServer採用了以Kerberos為驗證基礎之跨越森林樹系的可傳遞式信任關係。
在以下的實驗中,你將會學習到如何去設定及管理一個在二個不同森林樹系之間的網域信任關係。
對一個企業組織要加入其它的網域樹系架構這個安例而言,這是不常見的。
在這樣的一個環境下,彼此都有一個適當的網域樹系架構,此時它們需要一個機制能讓它們加入到彼此的樹系網域中,存取彼此的資源。
若您想要得知更進一步的資訊,請到這個網址去檢視.NetServerbeta版的相關資訊。
完成這個實驗大約需要40分鐘
目標
當完成這個實驗以後,你將能夠:
®準備一個跨越森林樹系信任關係的前置工作
®建置一個跨越森林樹系的信任關係
■建置和確認跨越森林樹系的管理
■執行跨越森林樹系管理
®管理一個跨越森林樹系信任關係及其相關疑難排解工作
■檢視一個信任路徑和檢視受信任網域物件
■移除和確認跨越森林樹系的信任關係
你將會得知兩個森林樹系之間的SID強迫驗證機制
練習
第一節:
建立跨越樹系信任關係的前置作業
練習1:
設定.NETServers轉換到「純粹」模式
在這個練習中,你將會發現在Windows網域架構下的不同運作模式架構和將網域轉換到「純粹」模式的需求是什麼。
第二節:
建置跨越森林樹系的信任關係
練習1:
建置跨越森林樹系的管理
網域現在都已轉換到「純粹」模式,此時你將會需要去建立一個跨越森林樹系的信任關係,並且開始要了解如何在其中一台網域控制站上去管理整個企業的森林樹系網域環境。
練習2:
從其他樹系來指派使用者權利
一旦信任關係成功建立和確認之後,你將會學習到如可經由建置不同等級的安全性群組和權力,以去跨越網域存取物件和資源。
第三節:
確認功能性和安全性
練習1:
檢視「受信任的網域」物件
身為一個系統管理員,最重要的一件事是你必須要了解不同的AD物件是存放在何處及如何檢視其有效性。
在這個練習中,你將會學到如何檢視ADSchema。
練習2:
切斷跨越森林樹系間的信任關係
最後,你將會學習到如何切斷一個信任關係及之前你所建立的使用者和群組的資源存取有效性是否然存在
第一節 建立跨越樹系信任關係的前置作業
(Settingthe.NETServerto“Native”Mode)
練習1 設定.NETServers轉換到「純粹」模式
這個實驗需要2台機器,一台是隸屬於NWTraders網域,另一台是隸屬於Contoso網域
▶管理NWTraders樹系
1.使用系統管理員帳號administrator登入到NWTraders網域,該使用者密碼為password
a.同時按下
b.在「使用者名稱」輸入區中鍵入administrator
c.在「密碼」輸入區中鍵入password
d.確定NWTRADERS這個網域名稱有出現在「登入到」這個選單中
e.按一下「確定」
2.設定DNS
a.選擇「開始」「所有程式」「附屬應用程式」「DNS」
b.選擇TraderDC1
c.選擇「執行」「內容」
d.選擇「轉寄站」頁面
e.按一下「新增」按鈕
f.輸入
g.按一下「確定」
h.在「己選取的網域轉寄站IP位址清單」中輸入10.10.10.2
i.按一下「新增」
j.其它的設定皆保留在預設值
k.按一下「確定」
▶
管理Contoso樹系
1.使用系統管理員帳號administrator登入到Contoso網域,該使用者密碼為password
a.同時按下
b.在「使用者名稱」輸入區中輸入administrator
c.在「密碼」輸入區中輸入password
d.確定CONTOSO這個網域名稱有出現在「登入到」這個選單中
e.按一下「確定」
2.設定DNS
a.選擇「開始」「所有程式」「附屬應用程式」「DNS」
b.選擇ContosoDC1
c.選擇「執行」「內容」
d.選擇「轉寄站」頁面
e.按一下「新增」按鈕
f.輸入
g.按一下「確定」
h.在「己選取的網域轉寄站IP位址清單」中輸入10.10.10.1
i.按一下「新增」
j.其它的設定皆保留在預設值
k.按一下「確定」
在下一個練習中,你將會將樹系模式轉換至.NET純粹模式(這樣做的目的是為了下面練習中所要建立的跨越樹系間的信任關係)
情境劇本
當你要建立跨越樹系間信任關係之前,你必須先完成「建立跨越樹系間信任關係的前置作業」這個練習。
目前的環境是有兩個各自獨立的樹系網域皆處於「混合模式」
▶NWTraders網域的準備工作
1.設定「網域模式」轉換到.NET純粹模式
a.使用系統管理員帳號administrator從TraderDC1這台伺服器登入到NWTraders網域,該系統管理員的密碼為password
b.選擇「開始」「所有程式」「附屬應用程式」「ActiveDirectory網域及信任」
c.使用滑鼠右鍵點選「」
d.選擇「提高網域功能等級」
e.展開「請選擇可用的網域功能等級」下拉選單
註:
此對話方塊允許網域升級到「Windows.Net純粹模式」或「Windows2000純粹模式」
f.選擇「Windows.NetServer2003」
g.按一下「升級」按鈕
h.此時將會顯示一個警告對話方塊,告知提高網域功能等級後,將無法還原至混合模式
i.按一下「確定」
j.此時對話方塊顯示提高網域功能的工作已成功完成
k.按一下「確定」
2.設定樹系轉換到「純粹」模式
l.在TRADERDC1這台主機上開啟「ActiveDirectory網域及信任」管理工具(「開始」「所有程式」「系統管理工具」)
m.使用滑鼠右鍵點選「ActiveDirectory網域及信任」
n.選擇「提高樹系功能等級」
o.展開「請選擇可用的樹系功能等級」下拉選單
註:
此對話方塊顯示目前的樹系模式是Windows2000模式且允許該樹系升級到「Windows.Net純粹模式」
p.選擇「Windows.NetServer2003」
q.按一下「升級」
r.此時將會顯示一個警告對話方塊,告知提高樹系功能等級後,將無法還原至原先的樹系模式
s.按一下「確定」
t.此時對話方塊顯示提高樹系功能的工作已成功完成
u.按一下「確定」
▶CONTOSO網域的準備工作
1.設定「網域模式」轉換到.NET純粹模式
a.使用系統管理員帳號administrator從ContosoDC1這台伺服器登入到Contoso網域,該系統管理員的密碼為password
b.選擇「開始」「所有程式」「附屬應用程式」「ActiveDirectory網域及信任」
c.使用滑鼠右鍵點選「」
d.選擇「提高網域功能等級」
e.展開「請選擇可用的網域功能等級」下拉選單
註:
此對話方塊允許網域升級到「Windows.Net純粹模式」或「Windows2000純粹模式」
f.選擇「Windows.NetServer2003」
g.按一下「升級」按鈕
h.此時將會顯示一個警告對話方塊,告知提高網域功能等級後,將無法還原至混合模式
i.按一下「確定」
j.此時對話方塊顯示提高網域功能的工作已成功完成
k.按一下「確定」
2.
設定樹系轉換到「純粹」模式
l.在ContosoDC1這台主機上開啟「ActiveDirectory網域及信任」管理工具(「開始」「所有程式」「系統管理工具」)
m.使用滑鼠右鍵點選「ActiveDirectory網域及信任」
n.選擇「提高樹系功能等級」
o.展開「請選擇可用的樹系功能等級」下拉選單
註:
此對話方塊顯示目前的樹系模式是Windows2000模式且允許該樹系升級到「Windows.Net純粹模式」
p.選擇「Windows.NetServer2003」
q.按一下「升級」
r.此時將會顯示一個警告對話方塊,告知提高樹系功能等級後,將無法還原至原先的樹系模式
s.按一下「確定」
t.此時對話方塊顯示提高樹系功能的工作已成功完成
u.按一下「確定」
第二節 建置跨越森林樹系的信任關係
(ImplementingCrossForestTrusts)
練習1 建置跨越森林樹系的管理
情境劇本
企業組織己經決定要將C這個網域樹系中的大部份管理工作委派給NWTraders網域樹系中的系統管理員們。
▶委派管理控制權給NWTraders網域
1.利用Ping這個指令來確認ContosoDC1這個的網域控制站是否存活在網路上
a.切換至TraderDC1的機器上
b.選擇「開始」「所有程式」「附屬應用程式」「命令提示字元」
c.在命令提示字元視窗中輸入Ping
d.確認有收到正確的回應
2.從NWTraders的網域控制站(TraderDC1)上初始化信任關係
a.選擇「開始」(「所有程式」(「系統管理工具」(「ActiveDirectory網域及信任」
b.使用滑鼠右鍵點選這個網域名稱
c.選取「內容」
d.選取「信任」頁面
e.選取「新增信任」按鈕
f.此時會出現「新增信任精靈」歡迎畫面
g.按一下「下一步」
h.輸入欲信任的樹系網域名稱
i.按一下「下一步」
j.選取「樹系信任」
註:
如果沒有看到「樹系信任」這個選項,請利用上一節的步驟來確認你的樹系模式是否已轉為Windows.NETServer模式(DNS名稱解析和兩個樹系是否轉為Windows.NETServer純粹模式)
k.按一下「下一步」
l.選擇信任方向為「雙向」
m.按一下「下一步」
n.選取「同時建立於這個網域和指定網域」
o.按一下「下一步」
註:
你必須要在所選擇的網域上有新增信任關係的權利才可選擇「同時建立於這個網域和指定網域」這個選項
p.你將會看到要求您輸入在C這個網域中有系統管理權限的使用者資料之對話方塊
q.輸入使用者名稱:
administrator
r.輸入密碼:
password
s.按一下「下一步」
註:
接下來的兩個對話方塊幾乎是一模一樣的,所以您必須仔細的去閱讀及了解其涵義,以確定你了解在此所給定的權限會造成的影響。
t.在「連出信任驗證等級--本機樹系」這個對話方塊中請選取第一個選項「驗證整個樹系」
u.按一下「下一步」
v.在「連出信任驗證等級--指定的樹系」這個對話方塊中請選取第一個選項「驗證整個樹系」
w.按一下「下一步」
x.此時會顯示出你之前步驟所選擇的信任設定
y.按一下「下一步」
zz.此時會顯示信任關係已成功建立的對話方塊
aa.按一下「下一步」
bb.選取「是,確認連出信任」
cc.按一下「下一步」
dd.選取「是,我要確認連入信任」
ee.按一下「下一步」
ff.此時會告知您已經成功的完成新增信任精靈的工作
gg.按一下「完成」
hh.按一下「確定」以關閉信任關係視窗
▶委派管理能力給NWTraders網域的系統管理人員
1.在Contoso網域樹系中建立一個跨越樹系的委派管理工作給NWTraders網域的DomainAdmins群組
a.切換至ContosoDC1的機器上
b.選擇「開始」「所有程式」「系統管理工具」(「ActiveDirectory使用者和電腦」
c.使用滑鼠右鍵點選這個網域名稱
d.選取「所有工作」(「委派控制」
e.此時會出現「委派控制精靈」歡迎畫面
f.按一下「下一步」
g.按一下「新增」
h.在對話方塊中輸入administrator@
i.按一下「檢查名稱」
註:
系統將會在Administrator的帳號下方出現底線,表示此帳號有從NWTraders這個網域樹系中正確解析回來
j.按一下「確定」
k.按一下「下一步」
l.選取「建立自定工作來委派」
m.按一下「下一步」
n.保留預設的選項
o.按一下「下一步」
p.在使用權限中選取「完全控制」
q.按一下「下一步」
r.檢視之前步驟所做的設定是否無誤
s.按一下「完成」
2.從NWTraders網域中的機器上建立一個Contoso網域的測試帳號,以確保兩網域樹系間的權限和信任關係可以運作
a.選擇「開始」(「所有程式」(「系統管理工具」(「ActiveDirectory使用者和電腦」
b.使用滑鼠右鍵點選這個網域名稱
c.選取「連線到網域」
d.輸入
e.選取「確定」
f.展開C
g.使用滑鼠右鍵點選「Users」
h.選取「新增」「使用者」,並隨意新增一個使用者帳號
i.關閉MMC
練習二 從其他樹系來指派使用者權利
在這個練習中,我們將會在兩個網域樹系中建立一些群組,並指派一些使用者權力給這些群組,以了解那些群組成員是可以跨越樹系信任關係存取資源
▶建立群組與使用者
1.在兩個網域樹系中建立不同類別的群組
a.在TRADERDC1這台機器上,選取「開始」「所有程式」「系統管理工具」
b.啟動「ActiveDirectory使用者及電腦」這個管理工具(注意:
確定出現的網域名稱是)
c.展開右邊的網域樹狀結構,此時你可以看到「Users」這個容區,然後以滑鼠右鍵點選「Users」,並進而選取「新增」「群組」
d.新增三個安全性群組,以下是其類別及其與名稱:
名稱
群組領域
NWTradersDomainLocal
網域區域
NWTradersGlobal
通用
NWTradersUniversal
萬用
重複d的步驟,在CONTOSODC1的機器上新增與上述相對應的群組。
2.在Contosodc1這台網域控制站上新增一個共用資料夾
a.在CONTOSODC1上的C磁碟機建立一個資料夾:
CONTOSOSHARE,並在此資料夾中新增一個文字檔案作為範例
b.使用滑鼠右鍵點選CONTOSOSHARE
c.選取「共用此資料夾」,並點選「使用權限」按鈕
d.按一下「新增」,輸入下列名稱,並且用分號(;)將其隔開
NWTradersDomainLocal@N
NWTradersGlobal@N
NWTradersUniversal@Nwtraders.M
e.按一下「檢查名稱」,請問發生了什麼事情?
註:
假如名稱無法解析正確,請確認和檢查「從這個位置」處所輸入的網域名稱,如果有需要,您可以使用「位置」按鈕來協助您選擇到正確的網域名稱。
f.假如有任何名字沒有找到,請選取「從選取項目上移除……」,然後按下「確定」,並再重新選擇「檢查名稱」。
請問那些群組可以被解析到?
g.此時不要新增這些群組,請按一下「取消」,並按「確定」二次以關閉共享資料夾對話方塊。
註:
上述的練習中指出是可以經由將這些群組直接加入到共享檔案的ACL(AccessControlList,存取控制清單)的方式來指定權限給這些群組。
然而,最好的處理方式是建立一個網域區域群組,並將共用資料夾的權限指定給這個群組且將樹系群組加入到這個網域區域群組。
這個操作步驟描述在下面的練習中
3.指派CONTOSOSHARE共用資料夾的權限給Contoso的網域區域群組
a.在CONTOSODC1機器上,利用「ActiveDirectory使用者及電腦」這個管理工具新增一個安全性群組類別的網域區域群組,其名為CONTOSOSHAREUSERS。
b.使用滑鼠右鍵點選CONTOSOSHARE,並進而選取「共用和安全性」
c.選取「使用權限」「新增」
d.輸入CONTOSOSHAREUSERS,然後選取「檢查名稱」
e.確認所輸入的名稱下方有出現底線,然後按下「確定」
f.選取「完全控制」權限。
g.將「Everyone」標記起來並按一下「移除」按鈕
h.連續按兩次「確定」以關閉對話方塊
4.將NWTraders的群組加入到Contoso的網域區域群組
a.在CONTOSODC1主機上,使用「ActiveDirectory使用者和電腦」,使用滑鼠右鍵點選CONTOSOSHAREUSERS群組,並進而選取「內容」
b.選取「成員」「新增」
c.輸入下列名稱,並且用分號(;)將其隔開
nwtradersglobal@
nwtradersuniversal@
d.按一下「檢查名稱」
e.連續按兩次「確定」以關閉對話方塊
5.確認可以存取CONTOSOSHARE資料夾
a.在TRADERDC1主機上,使用administrator帳號登入
b.選擇「開始」「執行」,並輸入\\CONTOSODC1\CONTOSOSHARE
c.確認您無法存取該共用資料夾
d.將NWTraders\administrator的帳號新增至nwtradersuniversal的群組。
e.登出後在重新以administrator的身份登入TRADERDC1
f.選擇「開始」「執行」,並輸入\\CONTOSODC1\CONTOSOSHARE
g.確認您可以CONTOSOSHARE資料夾中讀取、新增與儲存檔案
6.穿越網域樹系信任關係的群組成員
a.既然已建立了如上的群組,請測試一下跨越樹系信任關係的群組成員間的隸屬關係。
並請回答下列問題:
復習:
問題1:
您可以將使用者加入到另一個網域樹系中的通用群組、萬用群組或是網域區域群組嗎?
問題2:
您能夠在將通用(萬用)群組加入到其他網域樹系的通用(萬用)群組嗎?
第三節 確認功能性和安全性
(VerifyingFunctionalityandSecurity)
練習1 檢視「受信任的網域」物件
在這個練習中,您將會重新檢查之前在第二節中的練習1和練習2所建立的跨越森林樹系信任關係和「受信任的網域」物件。
▶檢視和驗證網域設定
1.檢視「受信任的網域」物件
a.從任何一台網域控制站上選擇「開始」「所有程式」「系統管理工具」「ActiveDirectory使用者和電腦」
b.選擇「檢視」「進階功能」
c.確認「進階功能」旁有出現標記
2.檢視「受信任的網域」物件之詳細資料
a.假如有需要,請你展開在網域名稱旁邊的「+」符號
b.審視一下在您螢幕上所看到的資訊。
c.檢視「系統」容器內的資訊,並找到該網域跟其它網域所建立的跨越網域的「受信任的網域」物件。
d.使用滑鼠右鍵點選該「受信任的網域」物件,然後選擇「內容」以檢視此信任網域物件的詳細資料
練習2 切斷跨越森林樹系間的信任關係
▶從NWTraders網域中刪除信任關係
1.移除一個跨越樹系間的信任關係
a.從任何一台網域控制站上,選擇「開始」「所有程式」「系統管理工具」「ActiveDirectory網域及信任」
b.使用滑鼠右鍵點選
c.選擇「內容」「信任」
d.選擇現有的信任關係
e.按下「移除」
f.重覆執行練習2的步驟,以決定不再有任何的信任關係連結
g.重覆執行第三節的練習1,你還可以看到「受信任的網域」物件嗎?
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Trust