AD域服务器的部署 【2】— AD域信任关系和域组策略(理论篇)

在部署AD域信任关系前先来理解域信任关系是个什么玩意

     在同一个域内,成员服务器根据Active Directory中的用户账号,可以很容易地把资源分配给域内的用户。但一个域的作用范围毕竟有限,有些企业会用到多个域,那么在多域环境下,我们该如何进行资源的跨域分配呢?也就是说,我们该如何把A域的资源分配给B域的用户呢?一般来说,我们有两种选择,一种是使用镜像账户。也就是说,我们可以在A域和B域内各自创建一个用户名和口令都完全相同的用户账户,然后在B域把资源分配给这个账户后,A域内的镜像账户就可以访问B域内的资源了。
     镜像账户的方法显然不是一个好的选择,至少账户的重复建设就很让管理员头疼。资源跨域分配的主流方法还是创建域信任关系,在两个域之间创建了信任关系后,资源的跨域分配就非常容易了。域信任关系是有方向性的,如果A域信任B域,那么A域的资源可以分配给B域的用户;但B域的资源并不能分配给A域的用户,如果想达到这个目的,需要让B域信任A域才可以。
     如果A域信任了B域,那么A域的域控制器将把B域的用户账号复制到自己的Active Directory中,这样A域内的资源就可以分配给B域的用户了。从这个过程来看,A域信任B域首先需要征得B域的同意,因为A域信任B域需要先从B域索取资源。这点和我们习惯性的理解不同,信任关系的主动权掌握在被信任域手中而不是信任域。
     A域信任B域,意味着A域的资源有分配给B域用户的可能性,但并非必然性!如果不进行资源分配,B域的用户无法获得任何资源!有些朋友误以为只要两个域之间存在信任关系,被信任域的用户就一定可以无条件地获得信任域内的所有资源,这个理解是错误的。之前时在一家港资企业担任网络管理工作,企业的香港公司是一个域,深圳公司也是一个域。有一次我们需要把两家公司的Exchange服务器进行站点连接,这个操作需要两个域建立信任关系,但当时一位老工程师坚决不同意建立信任关系。他的理由是只要建立信任关系,香港公司的资料就全被深圳公司的员工看到了。这个理由很山寨,很明显对域信任关系的理解有些是是而非。我通过一个实验纠正了他的错误概念,事实证明,深圳公司和香港公司建立了域信任关系后,安全性并没有因此降低。
     在NT4的域时代,信任关系是不具有传递性的。也就是说如果A域信任B域,B域信任C域,那么A域和C域没有任何关系。如果信任关系有传递性,那么我们就可以推导出A域是信任C域的。信任关系没有传递性极大地降低了灵活性,你可以想象一下如果70个域都要建立完全信任关系,那么需要多么大的工作量。而且这种牺牲灵活性的做法也没有获得安全上的补偿,因此微软在Win2000发布时,允许在域树和域林内进行信任关系的传递,在Win2003中更是允许在域林之间进行信任关系的传递。

工作中遇到的问题

在同一个域内,成员服务器根据Active Directory中的用户账号,可以很容易地把资源分配给域内的用户。
但一个域的作用范围毕竟有限,有些企业会用到多个域,那么在多域环境下,我们该如何进行资源的跨域分配呢?

解决方法

1.镜像账户

如何把A域的资源分配给B域的用户呢?

    方法:在A域和B域内各自创建一个用户名和口令都完全相同的用户账户,然后在B域把资源分配给这个账户后,A域内的镜像账户就可以访问B域内的资源了。

存在问题:账户的重复建设等

2.创建域信任关系 具体建立方法参考Windows域信任关系建立

    1.域信任关系是有方向性的,如果A域信任B域,那么A域的资源可以分配给B域的用户;但B域的资源并不能分配给A域的用户,如果想达到这个目的,需要让B域信任A域才可以。
    2.如果A域信任了B域,那么A域的域控制器将把B域的用户账号复制到自己的Active Directory中,这样A域内的资源就可以分配给B域的用户了。从这个过程来看,A域信任B域首先需要征得B域的同意,因为A域信任B域需要先从B域索取资源。

域信任关系

域的信任关系的主动权掌握在被信任域手中而不是信任域。
A域信任B域,意味着A域的资源有分配给B域用户的可能性,但并非必然性!如果不进行资源分配,B域的用户无法获得任何资源!

NT4到Windows2000的域关系的转变

NT4的域时代

信任关系是不具有传递性的。
也就是说如果A域信任B域,B域信任C域,那么A域和C域没有任何关系。

Windows2000之后

允许在域树和域林内进行信任关系的传递
在Win2003中更是允许在域林之间进行信任关系的传递。

域树

域树针对以上问题进行了很好的解决,域树的父域和子域之间由于使用了层次分明的DNS域名,只要根据域名我们就可以判断出两个域的隶属关系,例如有两个域abc.com和test.abc.com,我们可以很轻易地判断出后者是前者的子域。

域树在信任关系上也有很好的改进,域树内的各个域之间会自动建立起双向可传递的信任关系,显然这是一个效率上的重大改进。

AD域组策略

概念

    组策略是一个允许执行针对用户或计算机进行配置的基础架构。
    其实通俗地说,组策略和注册表类似,是一项可以修改用户或计算机设置的技术。

组策略和注册表的区别

  1. 注册表只能针对一个用户或一台计算机进行设置
  2. 组策略却可以针对多个用户和多台计算机进行设置。
    举例:
    在一个拥有1000用户的企业中,如果我们用注册表来进行配置,我们可能需要在1000台计算机上分别修改注册表。但如果改用组策略,那只要创建好组策略,然后通过一个合适的级别部署到1000台计算机上就可以了。

组策略和Active Directory结合使用,可以部署在OU,站点和域的级别上,当然也可以部署在本地计算机上,但部署在本地计算机并不能使用组策略中的全部功能,只有和Active Directory配合,组策略才可以发挥出全部潜力。 组策略部署在不同级别的优先级是不同的,本地计算机<站点<域<OU。 我们可以根据管理任务,为组策略选择合适的部署级别。

什么是组策略对象?

    组策略是通过“组策略对象(GPO)”来设定的,只要将GPO连接到指定的站点、域或OU、该GPO内的设定值就会影响到该站点,域或OU内的所有用户于计算机。

组策略存储位置

  1. 链接GPO的Active Directory容器
  2. 域控制器上的Sysvol文件夹

组策略对象GPO的组成

  1. 组策略容器(GPC)
    GPC包含GPO的属性信息,
    存储在域中每台域控制器活动目录中
  2. 组策略模板(GPT)
    GPT 包含GPO 的数据,
    存储在Sysvol 的 /Policies 子目录下

组策略管理

组策略管理可以通过组策略编辑器和组策略管理控制台(GPMC)

    组策略编辑器是Windows操作系统中自带的组策略管理工具,可以修改GPO中的设置。
    GPMC则是功能更强大的组策略编辑工具,GPMC可以创建,管理,部署GPO,最新的GPMC可以从微软网站下载。

组策略应用

  1. 帐户策略的设定

        例如设定用户密码的长度、复杂度、使用的期限,帐号锁定策略等。
    
  2. 本地策略的设定

        例如审核策略的设定、用户权限的指派、安全性的设定
    

3.部署软件

    思路
   1.把要部署的软件存储在文件服务器的共享文件夹中
    2.然后通过组策略告知用户用户或计算机,某某服务器的某某文件夹有要安装的软件,赶紧去下载安装。
    3.设置好组策略,就可以等待客户机自动进行软件安装了,完全不用在客户机上一一进行部署了。


相关文章:

AD域服务器的部署 【1】— AD域介绍

AD域服务器的部署 【2】— AD域信任关系和域组策略(理论篇)

AD域服务器的部署 【3】—搭建AD域

Windows域信任关系建立

域信任关系在企业管理中的应用

Windows AD域管理功能大全

posted @ 2020-03-04 16:40  F兽  阅读(3170)  评论(0编辑  收藏  举报