当前位置：首页 > 实用文档 > 其他范文> 创建Win域和Win域之间的信任关系，Active Directory系列之十八

创建Win域和Win域之间的信任关系，Active Directory系列之十八

时间：2023-06-27 08:06:23 其他范文收藏本文下载本文

创建Win域和Win域之间的信任关系，Active Directory系列之十八（共9篇）由网友“UNDEAD”投稿提供，以下是小编整理了创建Win域和Win域之间的信任关系，Active Directory系列之十八，希望你喜欢，也可以帮助到您，欢迎分享！

篇1：WIN技巧：技巧：批量创建域用户帐号

第一部分

情景：新建域环境，需要创建大批用户帐号，

环境：Windows Server + SP2 （DC）

操作：

1、在C盘根目录下创建 add.cmd 和 UserList.txt 两个文件。虚线内为实际内容。

add.cmd (文件内容为一行，无回车)

======================================================

For /F “tokens=1,2” %%a in (UserList.txt) do dsadd user CN=%%a,OU=test,DC=altn,DC=Com -upn %%a@altn.com -display %%b -pwd p@ssw0rd -pwdneverexpires yes

======================================================

UserList.txt （拼音和中文名之间有一个空格）

======================================================

zhangsan 张三

lisi 李四

wangwu 王五

======================================================

2、运行 add.cmd ，搞定，

篇2：WIN技巧：创建AD森林中第一个域

Active Directory 服务部署由一个或多个林组成，每个林又包含一个或多个域，在网络中创建初始域控制器（DC）时，就会在林中创建第一个域；域必须至少包含一个域控制器。创建的第一个域是第一个林的根域。同一域林中的其他域可以是子域或树根域。同一域树中位于一个域的上方与其紧邻的域被视为该域的父域。

Windows /2003 操作系统支持多主控复制；域中的所有域控制器都可以接收对象更改，并且可以将这些更改复制到该域中的所有其他域控制器。默认情况下，在林中创建的第一个域控制器是全局编录服务器，它包含所在域的目录中所有对象的完整副本，还包括林中所有其他域的目录中存储的所有对象的部分副本。

在域控制器之间复制 Active Directory 数据有助于提高信息可用性、容错性、负载平衡和性能。在单元中，您可以通过安装多个域控制器，充分利用多主机模型提供的更好的容错性能。即使某个域控制器停止工作，也不会影响 Active Directory 的可用性。

2.2.1 安装活动目录的方法

域是Windows 2000/2003网络中的核心管理单元。在Windows 2000/2003中，域用来限定信息和资源的组织与管理方式。

在活动目录中创建的第一个域是整个目录林的根域或目录林的根。在Windows 2000网络上第一次安装活动目录时，需要在新目录林中创建第一个域控制器，同时也就创建了根域，

可以采用以下两种方法来安装活动目录：

1. 采用Dcpromo.exe命令进行常规安装。

2. 采用无人值守的安装脚本安装。安装命名为：Dcpromo.exe /answer:answerfile （其中answer file是解答文件的名字）。

2.2.2 域控制器的创建

网络环境简述：网络中有一台DNS服务器（计算机名为ESS-ISA-0A），现准备将其升级为DC，同时将网络中另一台成员服务器ESS-DC-11升级为附加的域控制器。下表列出了各个计算机的TCP/IP配置：

DNS的基本配置

由于网络中已存在DNS服务器，在创建域前，我们先在上面为域创建区域和主机记录。创建过程如下：

1、在【管理工具】 ->【DNS】中打开DNS管理控制台。然后在正向搜索区域中选择【新建区域】。如图2-3所示。

图 2-3 新建区域

2 、在【区域名】对话框中，输入新建区域的域名：esstest.com。然后点击【下一步】按钮，选择区域类型为标准主区域，然后按默认设置完成区域的创建。如图2-4所示。

图 2-4 输入区域名称

3、在esstest.com区域的属性中，将区域设置为【允许动态更新】。如图2-5所示。

图 2-5 设置允许动态更新

4、在esstest.com的区域中，为即将升级的为DC的计算机建立一条主机记录，如图2-6所示

图 2-6 建立主机记录

篇3：WIN技巧：Win03用DSADDUSER批量创建域用户

问题描述：

现公司架设域环境，需要创建多个用户，但如果一个个创建的话很费时间，如何批量创建大量用户呢?现在网上看到一些如何利用脚本创建批量用户，个人感觉比较复杂，而且如果利用到自己的实际环境当中比较困难，

WIN技巧：Win03用DSADDUSER批量创建域用户

，

而命令形式的比较容易理解，也比较好做成功。

解决方法：

1.先创建用户信息，建立EXCEL表格的形式。文件名为USER1.XLS

2.把创好的文件需要另存为后缀名为.CSV的文件才可以在以后的命令当中使用。这个比较重要,另存为USER1.CSV

篇4：创建Win域和Win域之间的信任关系，Active Directory系列之十八

今天我们更换一个实验场景，拓扑如下图所示，一个是Win2003域，另一个是Win2008域。两个域都使用各自的域控制器提供DNS解析，而且Win2008域的功能级别是Win2003，我们将为大家演示如何在这两个域之间创建信任关系。

这个实验的关键是DNS！操作系统的差异并不重要，Win2008域可以和Win2003域，甚至可以和Win域创建信任关系。我们要注意的是DNS的设置，每个域控制器要确保自己使用的DNS服务器不但可以解析本域的SRV记录，还可以解析与自己有信任关系域的SRV记录，也就是说DNS服务器要对信任域和被信任域的SRV记录都能进行解析。如何让每个DNS服务器都能解析两个域的SRV记录呢？我们有多种技术可以选择，例如辅助区域，存根区域，私有根或者转发器。在本次实验中我们使用辅助区域来解决这个问题，在每个DNS服务器上创建一个对方域的辅助区域，这样DNS服务器就可以对两个域进行解析了。

我们为大家演示如何创建itet.com的辅助区域。首先我们要在Server1负责的itet.com区域中进行设置，允许Server2创建itet.com的辅助区域。在Server1上打开DNS管理器，如下图所示，右键点击itet.com区域，选择“属性”。

在区域属性中切换到“区域传送”标签，如下图所示，勾选“允许区域传送”，选择“只允许到下列服务器”，点击“编辑”按钮。

点击编辑按钮后，如下图所示，我们添加了Server2的地址192.168.1.102，点击确定。

如下图所示，我们已经设定了允许192.168.1.102复制itet.com的区域数据，其实就是允许192.168.1.102成为itet.com的辅助DNS服务器。

Itet.com区域既然已经允许Server2成为辅助服务器了，那我们接下来就开始在Server2上创建辅助区域了。在Server2上打开DNS管理器，如下图所示，选择“新建区域”。

区域类型设置为辅助区域。

区域的名称设置为itet.com。

接下来需要设置itet.com的主服务器，显然，itet.com的主服务器是server1，也就是192.168.1.101。

如下图所示，点击“完成”按钮完成itet.com区域的创建。

我们在Server2的DNS管理器中可以看到，itet.com的区域记录已经被复制到Server2上，Server2已经成功地成为了Server2的辅助服务器，

接下来我们要如法炮制，在Server2上允许Server1成为contoso.com的辅助服务器，然后在Server1上创建contoso.com辅助区域，把contoso.com的区域数据复制到Server1上。如下图所示，我们看到Server1上也已经成功地把contoso.com的区域数据复制过来了。

DNS进行了充分的准备后，我们就可以进行域信任关系的设置了。我们准备在itet.com和contoso.com之间设置双向信任关系，如下图所示，我们在Server1上打开“Active Directory域和信任关系”，右键点击itet.com，选择“属性”。

在itet.com的域属性中切换到“信任”标签，点击“新建信任”。

出现新建信任关系向导，点击“下一步”继续。

向导询问server1准备和哪个域建立信任关系，我们输入contoso.com的域名。

接下来我们要选择是在两个域之间建立不可传递的外部信任，还是可传递的林信任，我们选择建立外部信任。

如下图所示，我们选择建立双向信任关系。

接下来向导询问是在两个域的域控制器上分开设置，还是同时进行设置，我们选择“此域和指定的域”，准备在两个域的域控制器上同时进行信任关系的设定。

接下来向导要求输入contoso.com的域管理员口令，这样才可以在contoso.com的域控制器上设置信任关系。

我们选择“全域性身份验证”，允许信任域用户使用被信任域的所有资源。

如下图所示，信任关系的创建已经准备完毕，点击下一步继续。

如下图所示，两个域之间的信任关系已经成功创建。

确定在itet.com域上传出信任关系。

接下来在itet.com域上确定传入信任关系。

如下图所示，所有的工作都已完成，点击“完成”结束域信任关系的创建爱你。

从下图中可以看到，两个域之间确实创建了不可传递的双向域信任关系，我们的实验目标已经实现。这个实验其实有更广泛的适应性，同时可以用于Win2000与Win2003，Win2000与Win2008等信任关系的创建。大家可以举一反三，慢慢体会。

出处: yuelei.blog.51cto.com/202879/186968

篇5：WIN技巧：网络管理从WIN域开始

网络管理从WIN域开始

与公司管理结构相匹配的域结构示意图

表1 用户组规划表

表2 文件夹权限设置表

前几天，某电力公司的信息主管（一位刚刚上任的朋友）打电话过来问：“有没有好一点的网管软件？现在机子多了，人手一机，问题越来越多了，相互猜密码的、丢资料的、丢账号的、系统整天崩溃的、在工位上玩游戏的、乱用打印机的……总之很乱，也不好管理，就算自己看见了，因为平时关系不错，也不好意思说，就是说了也起不到多大作用。我这个信息主管实在是有名无实啊。”我听完以后十分感慨，微软的桌面系统进入中国市场这么久，竟然还有这么多人不知道Windows域服务才是管理桌面的利器，

那么，今天我们就来分享一下给这位友人提出的解决方案。

对多用户管理缺乏层次

某市某供电局，有员工200人左右和12个业务或支撑部门。为了满足公司未来发展和日常运营管理的安全需求，公司决定重新部署企业网络。公司计划部署一个由200台计算机组成的局域网，用于完成企业数据通信和资源共享。

公司已有一个局域网，运行200台计算机，服务器操作系统是Windows Server ，客户端的操作系统是Windows XP，工作在工作组模式下，员工一人一机办公。公司从ISP申请100M专线，采用代理方式上网。由于计算机比较多，管理上缺乏层次，公司希望能够利用Windows域环境管理所有网络资源，提高办公效率，加强内部网络安全，规范计算机使用。

篇6：理解域信任关系，Active Directory系列之十六

在同一个域内，成员服务器根据Active Directory中的用户账号，可以很容易地把资源分配给域内的用户，但一个域的作用范围毕竟有限，有些企业会用到多个域，那么在多域环境下，我们该如何进行资源的跨域分配呢？也就是说，我们该如何把A域的资源分配给B域的用户呢？一般来说，我们有两种选择，一种是使用镜像账户。也就是说，我们可以在A域和B域内各自创建一个用户名和口令都完全相同的用户账户，然后在B域把资源分配给这个账户后，A域内的镜像账户就可以访问B域内的资源了。

镜像账户的方法显然不是一个好的选择，至少账户的重复建设就很让管理员头疼。资源跨域分配的主流方法还是创建域信任关系，在两个域之间创建了信任关系后，资源的跨域分配就非常容易了。域信任关系是有方向性的，如果A域信任B域，那么A域的资源可以分配给B域的用户；但B域的资源并不能分配给A域的用户，如果想达到这个目的，需要让B域信任A域才可以。

如果A域信任了B域，那么A域的域控制器将把B域的用户账号复制到自己的Active Directory中，这样A域内的资源就可以分配给B域的用户了。从这个过程来看，A域信任B域首先需要征得B域的同意，因为A域信任B域需要先从B域索取资源。这点和我们习惯性的理解不同，信任关系的主动权掌握在被信任域手中而不是信任域，

A域信任B域，意味着A域的资源有分配给B域用户的可能性，但并非必然性！如果不进行资源分配，B域的用户无法获得任何资源！有些朋友误以为只要两个域之间存在信任关系，被信任域的用户就一定可以无条件地获得信任域内的所有资源，这个理解是错误的。我刚工作时在一家港资企业担任网络管理工作，企业的香港公司是一个域，深圳公司也是一个域。有一次我们需要把两家公司的Exchange服务器进行站点连接，这个操作需要两个域建立信任关系，但当时一位老工程师坚决不同意建立信任关系。他的理由是只要建立信任关系，香港公司的资料就全被深圳公司的员工看到了。这个理由很山寨，很明显对域信任关系的理解有些是是而非。我通过一个实验纠正了他的错误概念，事实证明，深圳公司和香港公司建立了域信任关系后，安全性并没有因此降低。

在NT4的域时代，信任关系是不具有传递性的。也就是说如果A域信任B域，B域信任C域，那么A域和C域没有任何关系。如果信任关系有传递性，那么我们就可以推导出A域是信任C域的。信任关系没有传递性极大地降低了灵活性，你可以想象一下如果70个域都要建立完全信任关系，那么需要多么大的工作量。而且这种牺牲灵活性的做法也没有获得安全上的补偿，因此微软在Win发布时，允许在域树和域林内进行信任关系的传递，在Win2003中更是允许在域林之间进行信任关系的传递。

下篇博文中我们将通过一个实例为大家介绍如何进行信任关系的创建，敬请期待。

出处:yuelei.blog.51cto.com/202879/175728

篇7：WIN技巧：强者更强玩转DHCP超级作用域

借助Windows2000/的动态主机分配协议（DHCP），在网络中创建作用域来让客户端自动生成网络配置，置信息的是通过作用域来分配的，在一台DHCP服务器上，我们可能会根据需要创建多个作用域。如果对这些作用域分别管理，则显的较为麻烦。为此，我们可以创建超级作用域，这样不仅可以把多个作用域纳入一个超级作用域中进行管理，更可以适应多个子网环境的需要。

在实际的使用中我们可以把作用域看作超级作用域的子集，因此创建超级作用域之前必须至少有一个作用域，但我们一般推荐拥有两个或者更多的作用域的时候再创建超级域用域，否则就失去了超级作用域的意义了，

一、创建超级作用域

进入控制面，打开管理工具中的DHCP，右击服务器名称，在弹出的菜单中选择“新建超级作用域”，这样就打开了创建向导窗口。

在欢迎界面中单击“下一步”提示我们输入超级作用域名称，和作用域名一样，这并没有实际意义，只是为了便于识别与分辩，输入之后继续单击“下一步”。此时向导会要求我们选择作用域，并且把已经创建的作用域以列表的形式显示出来，此时我们只需要将当前超级作用域中欲包含的作用域选中即可（如图1）。

图1

选好包含的作用域后，再次点击“下一步”按钮，这样即会提示我们正在完成超级作用域的创建，单击“完成”按钮结束。

篇8：WIN技巧：深入理解AD域环境中操作主机角色

概述

在Win2003多主机复制环境中，任何域控制器理论上都可以更改ActiveDirectory中的任何对象，但实际上并非如此，某些AD功能不允许在多台DC上完成，否则可能会造成AD数据库一致性错误，这些特殊的功能称为“灵活单一主机操作”，常用FSMO来表示，拥有这些特殊功能执行能力的主机被称为FSMO角色主机。在Win2003 AD域中，FSMO有五种角色,分成两大类:

林林级别(在整个林中只能有一台DC拥有访主机角色)

1：架构主机 (Schema Master)

2：域命令主机 (Domain Naming Master)

域级别(在域中只有一台DC拥有该角色)

3：PDC模拟器(PDC Emulator)

4：RID主机 (RID Master)

5：基础架构主机 (Infrastructure Master)

本文分别从以下几个方面深入理解操作主机

● FSMO操作主机角色功能

● 查看和更改操作主机角色的方法

● 操作主机放置优化建议

篇9：在Win 中SMTP邮件中继服务器配置远程域服务器教程

概要

本文介绍了如何为“Internet 信息服务”(IIS)“简单邮件传输协议”(SMTP) 邮件中继服务器配置远程域，

Windows Server 2003 中的 IIS 包括一个功能齐全的 SMTP 虚拟服务器，您可以使用这个服务器在您的内部网络上传送邮件。SMTP 虚拟服务器还可用来从 Internet 接受邮件。SMTP 服务虽然没有提供易于访问的邮件检索机制，但对于从 Internet 接受邮件以及将邮件中继到 SMTP/POP3 服务器，它的作用很重要。对于计算机所属的域，以及其他域，您都可以配置 SMTP 虚拟服务器来接受邮件。

采用运行 SMTP 服务的独立服务器是一种很好的安全措施，因为充当了企业邮件服务器和来自 Internet 的入站连接之间的隔离层。基于 Windows Server 2003 的独立计算机会将该服务器与内部网络的 Active Directory 安全边界隔离。您可以配置独立的SMTP 虚拟服务器，以便将公司邮件服务器用作智能主机。然后，您可以配置独立的SMTP 虚拟服务器来中继只发往远程域的邮件。这样的话，所有其他邮件就都会被拒绝，不被中继。

如何配置独立的 IIS SMTP 服务器来中继到远程域

启动“Internet 信息服务管理器”或者打开“Internet 信息服务 (IIS)”管理单元，

展开服务器名称，其中服务器名称为该服务器的名称，然后展开“默认 SMTP 虚拟服务器”。

右键单击域，指向新建，然后单击域。

单击远程，然后单击下一步。

在名称框中键入新远程域的名称。

您可以指定单个域，也可以使用星号 (*) 作为通配符(星号必须位于名称开头，并且要用句点将星号与名称的其他部分隔开)来指定多个域。例如，如果您需要远程域接收其他域.com 及其所有子域的邮件，可使用名称 *.其他域.com。

单击完成。

在右窗格中，右键单击刚刚创建的新远程域，然后单击属性。

单击常规选项卡。

在“为远程域选择适当的设置”下，单击“允许入站邮件中继到此域”复选框，将其选中，以使 SMTP 服务器能够作为邮件中继。

在“路由域”下，单击“将所有邮件转发至智能主机”，然后键入内部网络的公司邮件服务器的 IP 地址或完全限定域名 (FQDN)。如果使用 IP 地址，则一定要用括号“[]”将 IP 地址括起来。例如，[nnn.nnn.nnn.nnn]。