在部署AD域信任關系前先來理解域信任關系是個什么玩意
在同一個域內,成員服務器根據Active Directory中的用戶賬號,可以很容易地把資源分配給域內的用戶。但一個域的作用范圍畢竟有限,有些企業會用到多個域,那么在多域環境下,我們該如何進行資源的跨域分配呢?也就是說,我們該如何把A域的資源分配給B域的用戶呢?一般來說,我們有兩種選擇,一種是使用鏡像賬戶。也就是說,我們可以在A域和B域內各自創建一個用戶名和口令都完全相同的用戶賬戶,然后在B域把資源分配給這個賬戶后,A域內的鏡像賬戶就可以訪問B域內的資源了。
鏡像賬戶的方法顯然不是一個好的選擇,至少賬戶的重復建設就很讓管理員頭疼。資源跨域分配的主流方法還是創建域信任關系,在兩個域之間創建了信任關系后,資源的跨域分配就非常容易了。域信任關系是有方向性的,如果A域信任B域,那么A域的資源可以分配給B域的用戶;但B域的資源並不能分配給A域的用戶,如果想達到這個目的,需要讓B域信任A域才可以。
如果A域信任了B域,那么A域的域控制器將把B域的用戶賬號復制到自己的Active Directory中,這樣A域內的資源就可以分配給B域的用戶了。從這個過程來看,A域信任B域首先需要征得B域的同意,因為A域信任B域需要先從B域索取資源。這點和我們習慣性的理解不同,信任關系的主動權掌握在被信任域手中而不是信任域。
A域信任B域,意味着A域的資源有分配給B域用戶的可能性,但並非必然性!如果不進行資源分配,B域的用戶無法獲得任何資源!有些朋友誤以為只要兩個域之間存在信任關系,被信任域的用戶就一定可以無條件地獲得信任域內的所有資源,這個理解是錯誤的。之前時在一家港資企業擔任網絡管理工作,企業的香港公司是一個域,深圳公司也是一個域。有一次我們需要把兩家公司的Exchange服務器進行站點連接,這個操作需要兩個域建立信任關系,但當時一位老工程師堅決不同意建立信任關系。他的理由是只要建立信任關系,香港公司的資料就全被深圳公司的員工看到了。這個理由很山寨,很明顯對域信任關系的理解有些是是而非。我通過一個實驗糾正了他的錯誤概念,事實證明,深圳公司和香港公司建立了域信任關系后,安全性並沒有因此降低。
在NT4的域時代,信任關系是不具有傳遞性的。也就是說如果A域信任B域,B域信任C域,那么A域和C域沒有任何關系。如果信任關系有傳遞性,那么我們就可以推導出A域是信任C域的。信任關系沒有傳遞性極大地降低了靈活性,你可以想象一下如果70個域都要建立完全信任關系,那么需要多么大的工作量。而且這種犧牲靈活性的做法也沒有獲得安全上的補償,因此微軟在Win2000發布時,允許在域樹和域林內進行信任關系的傳遞,在Win2003中更是允許在域林之間進行信任關系的傳遞。
工作中遇到的問題
在同一個域內,成員服務器根據Active Directory中的用戶賬號,可以很容易地把資源分配給域內的用戶。
但一個域的作用范圍畢竟有限,有些企業會用到多個域,那么在多域環境下,我們該如何進行資源的跨域分配呢?
解決方法
1.鏡像賬戶
如何把A域的資源分配給B域的用戶呢?
方法:在A域和B域內各自創建一個用戶名和口令都完全相同的用戶賬戶,然后在B域把資源分配給這個賬戶后,A域內的鏡像賬戶就可以訪問B域內的資源了。
存在問題:賬戶的重復建設等
2.創建域信任關系 具體建立方法參考Windows域信任關系建立
1.域信任關系是有方向性的,如果A域信任B域,那么A域的資源可以分配給B域的用戶;但B域的資源並不能分配給A域的用戶,如果想達到這個目的,需要讓B域信任A域才可以。 2.如果A域信任了B域,那么A域的域控制器將把B域的用戶賬號復制到自己的Active Directory中,這樣A域內的資源就可以分配給B域的用戶了。從這個過程來看,A域信任B域首先需要征得B域的同意,因為A域信任B域需要先從B域索取資源。
域信任關系
域的信任關系的主動權掌握在被信任域手中而不是信任域。
A域信任B域,意味着A域的資源有分配給B域用戶的可能性,但並非必然性!如果不進行資源分配,B域的用戶無法獲得任何資源!
NT4到Windows2000的域關系的轉變
NT4的域時代
信任關系是不具有傳遞性的。
也就是說如果A域信任B域,B域信任C域,那么A域和C域沒有任何關系。
Windows2000之后
允許在域樹和域林內進行信任關系的傳遞
在Win2003中更是允許在域林之間進行信任關系的傳遞。
域樹
域樹針對以上問題進行了很好的解決,域樹的父域和子域之間由於使用了層次分明的DNS域名,只要根據域名我們就可以判斷出兩個域的隸屬關系,例如有兩個域abc.com和test.abc.com,我們可以很輕易地判斷出后者是前者的子域。
域樹在信任關系上也有很好的改進,域樹內的各個域之間會自動建立起雙向可傳遞的信任關系,顯然這是一個效率上的重大改進。
AD域組策略
概念
組策略是一個允許執行針對用戶或計算機進行配置的基礎架構。 其實通俗地說,組策略和注冊表類似,是一項可以修改用戶或計算機設置的技術。
組策略和注冊表的區別
- 注冊表只能針對一個用戶或一台計算機進行設置
- 組策略卻可以針對多個用戶和多台計算機進行設置。
舉例: 在一個擁有1000用戶的企業中,如果我們用注冊表來進行配置,我們可能需要在1000台計算機上分別修改注冊表。但如果改用組策略,那只要創建好組策略,然后通過一個合適的級別部署到1000台計算機上就可以了。
組策略和Active Directory結合使用,可以部署在OU,站點和域的級別上,當然也可以部署在本地計算機上,但部署在本地計算機並不能使用組策略中的全部功能,只有和Active Directory配合,組策略才可以發揮出全部潛力。 組策略部署在不同級別的優先級是不同的,本地計算機<站點<域<OU。 我們可以根據管理任務,為組策略選擇合適的部署級別。
什么是組策略對象?
組策略是通過“組策略對象(GPO)”來設定的,只要將GPO連接到指定的站點、域或OU、該GPO內的設定值就會影響到該站點,域或OU內的所有用戶於計算機。
組策略存儲位置
- 鏈接GPO的Active Directory容器
- 域控制器上的Sysvol文件夾
組策略對象GPO的組成
- 組策略容器(GPC)
GPC包含GPO的屬性信息,
存儲在域中每台域控制器活動目錄中 - 組策略模板(GPT)
GPT 包含GPO 的數據,
存儲在Sysvol 的 /Policies 子目錄下
組策略管理
組策略管理可以通過組策略編輯器和組策略管理控制台(GPMC)
組策略編輯器是Windows操作系統中自帶的組策略管理工具,可以修改GPO中的設置。 GPMC則是功能更強大的組策略編輯工具,GPMC可以創建,管理,部署GPO,最新的GPMC可以從微軟網站下載。
組策略應用
-
帳戶策略的設定
例如設定用戶密碼的長度、復雜度、使用的期限,帳號鎖定策略等。 -
本地策略的設定
例如審核策略的設定、用戶權限的指派、安全性的設定
3.部署軟件
思路 1.把要部署的軟件存儲在文件服務器的共享文件夾中 2.然后通過組策略告知用戶用戶或計算機,某某服務器的某某文件夾有要安裝的軟件,趕緊去下載安裝。 3.設置好組策略,就可以等待客戶機自動進行軟件安裝了,完全不用在客戶機上一一進行部署了。