域結(jié)構(gòu)網(wǎng)絡(luò)的構(gòu)建目標(biāo)理解信任關(guān)系的概念掌握林和子域的創(chuàng)建掌握信任關(guān)系的創(chuàng)建了解林信任的概念活動目錄的邏輯結(jié)構(gòu)1. 域2. 組織單元3. 域樹和樹林4. 全局編錄 ,這3個選

域結(jié)構(gòu)網(wǎng)絡(luò)的構(gòu)建

目標(biāo)

理解信任關(guān)系的概念

掌握林和子域的創(chuàng)建

掌握信任關(guān)系的創(chuàng)建

了解林信任的概念

活動目錄的邏輯結(jié)構(gòu)

1. 域

2. 組織單元

3. 域樹和樹林

4. 全局編錄

這3個選項應(yīng)選擇哪個

域樹是共用連續(xù)域名空間的Windows 域 向域樹中添加的任何新域都叫做子域 單個域樹或者多個域樹構(gòu)成林

林中的不同域樹不共用連續(xù)的域名空間

在林中創(chuàng)建的第一個域叫做林的根域

林的根域存在兩個預(yù)定義的組

Enterprise Admins

Schema Admins

林的根域

創(chuàng)建林、域樹和子域

安裝DC 應(yīng)具備的條件（要先用dcpromo.exe 命令進入活

動目錄安裝向?qū)В。?/p>

創(chuàng)建林

創(chuàng)建域樹

創(chuàng)建子域

安裝DC 應(yīng)具備的條件

安裝者必須具有本地管理員權(quán)限

操作系統(tǒng)版本必須滿足條件

本地磁盤至少有一個分區(qū)是NTFS 文件系統(tǒng) 有TCP/IP設(shè)置（IP 地址、子網(wǎng)掩碼等） 有相應(yīng)的DNS 服務(wù)器支持

有足夠的可用空間

創(chuàng)建林

還原模式密碼

創(chuàng)建子域

目錄服務(wù)還原模式的管理員密碼

創(chuàng)建林中域樹

創(chuàng)建現(xiàn)有林中的域樹

在一個林中創(chuàng)建多個域的原因

部門（或分公司）之間有不同的密碼要求，可以針對部

門（或分公司）創(chuàng)建域

有大量的活動目錄對象，可以分解成多個域，使每個域

活動目錄對象較少

分散的網(wǎng)絡(luò)管理，而不是由一個域管理員管理，多個域

意味著有多個域管理員

對復(fù)制進行更多的控制

林中的信任關(guān)系2-1

林中的信任關(guān)系2-2

林中的默認(rèn)信任關(guān)系的特點

? 自動建立

? 林中的域之間的信任關(guān)系是在創(chuàng)建子域或者

域樹時自動創(chuàng)建的

? 傳遞信任

? 林中的域的信任關(guān)系是可傳遞的

? 如域A 直接信任域B ，域B 直接信任域C ，

則域A 信任域C

? 雙向信任

? 在兩個域之間有兩個方向上的兩條信任路徑 ? 例如，域A 信任域B ，域B 信任域A

查看信任關(guān)系

樹根信任：在同一個林中的兩個域樹之間

林中跨域訪問

本例中實現(xiàn)跨域訪問的具體步驟

? 1）將user1、user2、user3加入到全局組global1

? 2）將benet 域的全局組加入到bj 域的本地域組local1 AGDLP 規(guī)則的含義

? 1）將用戶賬戶加入全局組

? 2）將全局組加入本地域組

? 3）給本地域組賦權(quán)限

? 3）在share 文件夾的【安全】和【共享】屬性中給

local1設(shè)置權(quán)限

? 4）user1、user2、user3訪問文件夾share

階段練習(xí)

? 背景

? BENET 公司的總部組建了一個林的根域，域名為

benet.com.cn

? 北京有個分公司需要創(chuàng)建子域，域名為

bj.benet.com.cn

? 總部的部分賬戶有權(quán)訪問分公司域中的資源

? 目標(biāo)

? 掌握子域的創(chuàng)建

? 掌握AGDLP 規(guī)則的跨域應(yīng)用