多域之间资源共享访问(AGDLP策略)

   目的:用AGDLP来实现访问其它域的文件服务器.或打印服务器.下面实现的是文件服务器的访问.

    AGDLP意思是:A( 帐户),加入G(全局组),再加到对方域的DL(域本地组),分配P(权限).
    存在3台机器,一台DC(nwtrader.msft),一台DC(contoso.msft),一台加入域的客户端.(vmxp.contoso.msft).

    即能用contoso.msft的用户访问nwtrader.msft的共享文件即可.

    拓朴为:

   

    先在各自域建立组和用户.
    如下:
    在nwtrader.msft建立DL组.
    在contrader.msft建立G组及c用户.

   

　　  把用户c加入全局组G
    即实现了AG

   

 

    用于分配P(权限).那先在nwtrader.msft上建立文件服务器.并为DL组赋与访问权.
    实现了DLP

   

 

    为了验证结果,还在share里面建立了一文本.contoso.msft上的用户c能过来访问.即实现了AGDLP.

   

　　 AG说了,DLP也说了.还有最重要的一步没做,就是把contoso上的全局组G加入到nwtrader上的域本地组DL,这也是最重要的一步.
    要在一个域里加其它域里的对象.那么域之间必须存在信任关系.
    下面就实现如何在两域之间建立信任关系.
    建立信任关系前提,必须能相互解释.那么在DNS上设置转发器即可.

   

   

 

    确定相互解释成功.

   

 

   

　　  接差下来就是提升域和林的功能级别.以实现2003上更多的功能.

   

   

    下面终于可以建立信任关系啦.

   

 

   

  设置信任类型,信任方向.做的是双向，说明两个域之间的资源都可相互访问。

   

 

   

   

    身份验证.

   

　　   信任密码,用于确认信任关系.

   

 

    信任完毕,

   

   

 

    是否传出信任,传入信任.我这里没有设置,等建立完后再验证.

  

 

   

　　  信任完毕.contoso.msft做同样操作.

   

 

   

    建完信任关系后,可手工验证信任关系.

   

   

 

    现在可以实现把contoso.msft.的全局组G加到nwtrader的域本地组DL.
    那么AGDLP的全过程就实现了.
    下面看如何把contoso.msft.的全局组G加到nwtrader的域本地组DL.

   

  　　由于成功的信任关系存在,所以在nwtrader.msft这个域能看到contoso.msft