none
域学习中遇到的问题,大牛来帮帮小弟吧。不胜感激啊 RRS feed

  • 问题

  •     小弟刚开始学习域方面的东西,有很多问题不是很明白,希望各位大大能解下小弟的疑问,谢谢了。问题比较多,一个一个的问。

    q1.假如现在有域林a.com,域树b.com,默认情况下树与根是双向信任的,能不能取消根与树的信任,取消以后可能会出现什么情况?尤其是网络和安全方面的问题。ps:我到域控里试了下貌似直接删除传入信任跟传出信任都不可以,有什么方法么?

    q2.问题同上,假如域b.com下有子域,x.b.com,能否取消父域跟子域之间的信任,取消以后可能会出现什么情况。

    q3.默认各个林之间是不信任的,假如将林c.com跟林a.com建立信任,可能会出现什么问题?

    q4,也是最重要的,在主域控上应该设置哪些组策略配置,尤其是安全方面的,这个我查了很多资料书籍,上面都讲得很浅,只是教你怎么用组策略,而且演示的时候都是些不显示运行之类的无关痛痒的东西,在企业中,常见的安全策略有哪些。比如说现在在域a.com下面就有win2000,xp,2003,win7,linux等客户机,应该怎么配置组策略。

      希望各位大大能耐心解答,小弟不胜感激啊。。。。。thanks~

    2012年4月10日 3:26

答案

  • 您好!

    为了更好地解决问题,通常我们在一个帖子中只针对一个问题进行相关的恢复,请您将第四个问题另外重新发帖提问,谢谢您的配合。

    1. 域树和林之间的信任关系是默认创建的,无法手动取消。

    2. 子域和父域的信任关系也是默认创建的,无法手动取消。

    3. Windows Server 2003 林中,您可以将两个断开连接的 Windows Server 2003 林链接起来建立单向或双向可传递信任关系。双向林信任用于在两个林中的每个域之间建立可传递的信任关系。林信任提供了下列好处:

    通过减少共享资源所需的外部信任数,简化了横跨两个 Windows Server 2003 林的资源的管理。

    每个林中每个域之间的完全的双向信任关系。

    使用跨越两个林的用户主体名称 (UPN) 身份验证。

    使用 Kerberos V5 NTLM 身份验证协议,提高了林之间传递的授权数据的可信赖度。

    灵活的管理。每个林的管理任务可以是唯一的。

    林信任

    http://technet.microsoft.com/zh-cn/library/cc755700(WS.10).aspx

    希望我的回答对您有所帮助,如果您还有什么问题,请您再和我们联系。


    如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
    Description: Description: TechNet 论坛好帮手立刻免费下载  TechNet 论坛好帮手

    2012年4月10日 6:17
    版主
  • 您好!

    林信任也分为单向林信任和双向林信任,您可以根据您需求具体设置。

    使用单向林信任,两个林之间的单向林信任允许受信任林的成员使用信任林中的资源。但是,此信任只是单向的。例如,当在 A 林(受信任林)和 B 林(信任林)之间创建单向林信任时,A 林的成员可以访问 B 林中的资源,但 B 林的成员不能使用同一个信任访问 A 林中的资源。

    使用双向林信任,两个林之间的双向林信任允许任一个林的成员使用另一个林中的资源;每个林中的域隐式信任另一个林中的域。例如,当 A 林和 B 林之间建立双向林信任时,A 林的成员可以访问 B 林中的资源,B 林的成员也可以使用同一个信任访问 A 林中的资源。

    希望我的回答对您有所帮助,如果您还有什么问题,请您再和我们联系。


    如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
    Description: Description: TechNet 论坛好帮手立刻免费下载  TechNet 论坛好帮手

    2012年4月11日 6:58
    版主

全部回复

  • 您好!

    为了更好地解决问题,通常我们在一个帖子中只针对一个问题进行相关的恢复,请您将第四个问题另外重新发帖提问,谢谢您的配合。

    1. 域树和林之间的信任关系是默认创建的,无法手动取消。

    2. 子域和父域的信任关系也是默认创建的,无法手动取消。

    3. Windows Server 2003 林中,您可以将两个断开连接的 Windows Server 2003 林链接起来建立单向或双向可传递信任关系。双向林信任用于在两个林中的每个域之间建立可传递的信任关系。林信任提供了下列好处:

    通过减少共享资源所需的外部信任数,简化了横跨两个 Windows Server 2003 林的资源的管理。

    每个林中每个域之间的完全的双向信任关系。

    使用跨越两个林的用户主体名称 (UPN) 身份验证。

    使用 Kerberos V5 NTLM 身份验证协议,提高了林之间传递的授权数据的可信赖度。

    灵活的管理。每个林的管理任务可以是唯一的。

    林信任

    http://technet.microsoft.com/zh-cn/library/cc755700(WS.10).aspx

    希望我的回答对您有所帮助,如果您还有什么问题,请您再和我们联系。


    如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
    Description: Description: TechNet 论坛好帮手立刻免费下载  TechNet 论坛好帮手

    2012年4月10日 6:17
    版主
  • 感谢版主大大的耐心回答。 

    关于第三个问题,建立了林信任后有没有什么安全方面的问题,林信任默认是不可传递的,这样a.com跟c.com建立了林信任能有什么安全问题存在呢?求老大给提个醒。。谢谢啦~~~

    2012年4月10日 6:56
  • 您好!

    林信任也分为单向林信任和双向林信任,您可以根据您需求具体设置。

    使用单向林信任,两个林之间的单向林信任允许受信任林的成员使用信任林中的资源。但是,此信任只是单向的。例如,当在 A 林(受信任林)和 B 林(信任林)之间创建单向林信任时,A 林的成员可以访问 B 林中的资源,但 B 林的成员不能使用同一个信任访问 A 林中的资源。

    使用双向林信任,两个林之间的双向林信任允许任一个林的成员使用另一个林中的资源;每个林中的域隐式信任另一个林中的域。例如,当 A 林和 B 林之间建立双向林信任时,A 林的成员可以访问 B 林中的资源,B 林的成员也可以使用同一个信任访问 A 林中的资源。

    希望我的回答对您有所帮助,如果您还有什么问题,请您再和我们联系。


    如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
    Description: Description: TechNet 论坛好帮手立刻免费下载  TechNet 论坛好帮手

    2012年4月11日 6:58
    版主