实验名称:域信任关系
实验目标:
通过本实验,应掌握以下技能:
●建立快捷信任
●建立林信任
●建立外部信任
实验任务:
1) 建立一个林中两个域的快捷信任;
2)建立林https://www.doczj.com/doc/d08324439.html, 和林https://www.doczj.com/doc/d08324439.html,的林信任;
3)建立域https://www.doczj.com/doc/d08324439.html, 和https://www.doczj.com/doc/d08324439.html,的外部信任
实验拓扑:
实验前的准备:
1. 建立域的信任,需要是Domain Admins 或Enterprise Admins组的成员
任务一建立一个林中两个域的快捷信任
建立林https://www.doczj.com/doc/d08324439.html,中两个域https://www.doczj.com/doc/d08324439.html,和https://www.doczj.com/doc/d08324439.html, 的快捷信任
1.在域https://www.doczj.com/doc/d08324439.html,的域控制器计算机上,打开“开始”“程序”“管理工具”
“Active Directory 域和信任关系”
2.在控制台树中,展开https://www.doczj.com/doc/d08324439.html, ,右键单击要建立快捷信任的域https://www.doczj.com/doc/d08324439.html,的域节点,
然后单击“属性”。
3.单击“信任”选项卡上的“新建信任”,然后单击“下一步”。
4.在弹出的“新建信任向导”中,单击“下一步”按钮,在“信任名称”页,键入域
的 DNS 名(https://www.doczj.com/doc/d08324439.html,)或 NetBIOS 名称(sale),然后单击“下一步”。
5. 在“信任方向”页面,选择“双向”,表示两个域中的用户可以相互访问对方的资源,单击“下一步”按钮。
6.选择“这个域和指定的域”,表示同时在两个域中建立信任关系,但需要有指定域
的,单击“下一步”按钮。
7. 输入指定域中有信任创建特权的用户名和密码。单击“下一步”按钮。
8. 显示已创建好的信任关系,单击“下一步”按钮。
9. 信任创建成功,单击“下一步”按钮。
10. 询问是否要确认传出信任和传出信任,选取后单击“下一步”按钮。
11. 完成新建信任的创建,单击“完成”按钮。
12. 可以在属性的“信任”选项卡中看到刚创建的信任。
13. 同样可以在https://www.doczj.com/doc/d08324439.html,属性的“信任”选项卡中看到刚创建的信任。
任务二建立https://www.doczj.com/doc/d08324439.html, 和https://www.doczj.com/doc/d08324439.html,的林信任
创建林信任前的准备:
1.两个林之间可以通过DNS服务器来找到另一方林根域的控制器。如果两个林根域不共享同一台
DNS服务器,可以通过“条件转发器”的方式来实现。
2.确定两个林中所有的域功能级别是windows 2000纯模式或windows 2003模式,“林功能级别”
都升级为“Windows Server2003”
1.在域https://www.doczj.com/doc/d08324439.html,的域控制器计算机上,打开“开始”“程序”“管理工具”
“Active Directory 域和信任关系”
2.在控制台树中,右键单击林根域https://www.doczj.com/doc/d08324439.html,的域节点,然后单击“属性”。
3.单击“信任”选项卡上的“新建信任”,然后单击“下一步”。
4.在“信任名称”页面上,键入另一个林的 DNS 名称(https://www.doczj.com/doc/d08324439.html,)或 NetBIOS名称(DD),
然后单击“下一步”。
5.在“信任类型”页面上,单击“林信任”,然后单击“下一步”。
6.在“信任方向”页面,选择“双向”,表示两个域中的用户可以相互访问对方的资
源,单击“下一步”按钮。
7.在“传出信任身份验证级别—本地林”,选择“全林身份验证”,表示林https://www.doczj.com/doc/d08324439.html, 中
经过身份验证的用户可以使用本地林中的资源。
8.在“传出信任身份验证级别—指定林”,选择“全林身份验证”,表示本地林中经过
身份验证的用户可以使用林https://www.doczj.com/doc/d08324439.html,中的资源。
9.继续按照向导中的说明进行操作。
10.可以在属性的“信任”选项卡中看到刚创建的信任。
任务三建立域https://www.doczj.com/doc/d08324439.html, 和https://www.doczj.com/doc/d08324439.html,的外部信任
创建外部信任前的准备:
两个林中的域可以通过DNS服务器来找到另一方林中的域的控制器。如果两个林中的域不共享同一台DNS服务器,可以通过“条件转发器”的方式来实现。
1.在域https://www.doczj.com/doc/d08324439.html,的域控制器计算机上,打开“开始”“程序”“管理工具”
“Active Directory 域和信任关系”
2.在控制台树中,右键单击要建立信任的域https://www.doczj.com/doc/d08324439.html,的域节点,然后单击“属
性”。
3.单击“信任”选项卡上的“新建信任”,然后单击“下一步”。
4.在“信任名称”页面上,键入另一个林的 DNS 名称(https://www.doczj.com/doc/d08324439.html,)或 NetBIOS名称
(MKT),然后单击“下一步”。
5. 输入https://www.doczj.com/doc/d08324439.html,有创建信任权限的用户名和密码,单击“下一步”按钮。
5.在“信任方向”页面,选择“双向”,表示两个域中的用户可以相互访问对方的
资源,单击“下一步”按钮。
6.选择“这个域和指定的域”,表示同时在两个域中建立信任关系,但需要有指定域
的,单击“下一步”按钮。
7.在“传出信任身份验证级别—本地域”,选择“全域性身份验证”,表示域https://www.doczj.com/doc/d08324439.html,
中经过身份验证的用户可以使用本地域中的资源。
8.在“传出信任身份验证级别—指定域”,选择“全域性身份验证”,表示本地域中
经过身份验证的用户可以使用域https://www.doczj.com/doc/d08324439.html,中的资源。
9.外部信任已设置完成。单击“下一步”按钮。
10.继续按照向导中的说明进行操作。
11.可以在属性的“信任”选项卡中看到刚创建的信任
Windows域信任关系建立全攻略 操作环境:windows 2000的两个独立域https://www.doczj.com/doc/d08324439.html, 与https://www.doczj.com/doc/d08324439.html,。https://www.doczj.com/doc/d08324439.html,的网段为192.168.0.x,https://www.doczj.com/doc/d08324439.html, 域管理所在的IP为192.168.0.1,机器名为aa。 https://www.doczj.com/doc/d08324439.html,的网段为192.168.3.x,https://www.doczj.com/doc/d08324439.html,域管理所在的IP为192.168.3.1,机器名为bb。 两个域用VPN建立好连接,可互相ping通。
操作目的:建立互相信任的关系。 操作过程: 1、建立DNS。DNS必须使用的,而不能使用公网的,因为要对域进行解析。由于在https://www.doczj.com/doc/d08324439.html,和https://www.doczj.com/doc/d08324439.html, 上的步骤相同,故只以https://www.doczj.com/doc/d08324439.html,为例。 在192.168.0.1上打开管理工具- DNS- 连接到计算机- 这台计算机。在其正向搜索区域里新建区域- Active Directory集成的区域,输入https://www.doczj.com/doc/d08324439.html,,区域
文件就叫https://www.doczj.com/doc/d08324439.html,.dns好了,然后完成。 右击新建的https://www.doczj.com/doc/d08324439.html,,选择属性- 常规,把允许动态更新改变为是。 然后在正向搜索区域里新建区域- 标准辅助区域,输入https://www.doczj.com/doc/d08324439.html,,IP地址输入192.168.3.1,然后完成。 右击新建的https://www.doczj.com/doc/d08324439.html,,选择从主传输。 在反向搜索区域里新建区域- Directory集成的区
域,输入网络ID192.168.0,然后完成。 右击新建的192.168.0.x Subnet,选择属性- 常规,把允许动态更新改变为是。 现在https://www.doczj.com/doc/d08324439.html,的DNS已经建立好了,https://www.doczj.com/doc/d08324439.html,的也按此建立。 在192.168.0.1上进行测试,注意:DNS的传输可能需要一定的时间,最好在半个小时到一个小时后进行测试。
信任关系 不同域之间要能互访,需要域之间存在信任关系。信任关系分为可传递信任和非可传递信任。 可传递信任:任何一个域被加入到域目录树后,这个域都会自动信任父域,同时父域也会自动信任这个新域,而且这些信任关系具备双向传递性。 为了解决用户跨域访问资源的问题,可以在域之间引入信任,有了信任关系,域A的用户想要访问B域中的资源,让域B信任域A就行了。信任关系分为单向和双向,如图所示。图中①是单向的信任关系,箭头指向被信任的域,即域A信任域B,域A称为信任域,域B被称为被信任域,因此域B的用户可以访问域A中的资源。图中②是双向的信任关系,域A信任域B的同时域B也信任域A,因此域A的用户可以访问域B的资源,反之亦然。 在域树中,父域和子域的信任关系是双向可传递的,因此域树中的一个域隐含地信任域树中所有的域。 另一种可传递信任不是默认的,可以通过在不同林根域之间建立信任关系来实现,如P53图2-71。 在域之间建立信任关系时,注意信任传递带来的隐含信任,如图2-72。 非可传递信任: 非可传递信任的域之间必须通过手动创建信任,才能实现域间资源访问。可以创建的有: ●Server 2003/2008域与NT域 ●Server 2003/2008域与另一个林中的Server 2003/2008域(当两个林之间没有林信 任关系时) ●Server 2003/2008域与2000域 ●Active Directory域与Kerberos V5域
操作:为两个域创建信任关系(TrustRelationship.exe)。 在两域间创建信任关系,需要满足能对两域进行解析。所以首先在DNS服务器上进行区域的创建,并允许区域传送。参考P55设置信任关系。通过对域间资源访问进行验证。
批处理I E相关操作(添加信任网站-启用A c t i v e X-关闭弹窗阻 止)
批处理添加信任网站启用ActiveX 关闭弹窗阻止 rem 将以下保存到添加信任网站.bat 文件 rem 创建自解压文件,将此添加信任网站.bat文件解压 到 %USERPROFILE%\Favorites\办公网站\ 下(C盘根目录有时不可写) rem 受信站点配置开始 rem datong reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\In ternet Settings\ZoneMap\Domains\https://www.doczj.com/doc/d08324439.html," /v http /t REG_DWORD /d 0x00000002 /f rem 受信站点配置结束 rem 主页 reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d https://www.doczj.com/doc/d08324439.html, /f reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Secondary Start Pages" /t REG_SZ /d https://www.doczj.com/doc/d08324439.html,/ /f del fosoft.reg echo Windows Registry Editor Version 5.00 >> fosoft.reg rem Activex配置开始
维护活动目录 维护活动目录 议程: 维护活动目录介绍 备份活动目录数据库 恢复活动目录数据库 一、维护活动目录介绍 二、备份活动目录数据库 1、活动目录数据库备份操作 为了避免活动目录数据库失效而引起的错误,因此当活动目录正常工作时,需要对活动目录进行备份。 不能对活动目录单独备份,只能通过备份系统状态对活动目录进行备份。 系统状态组件组件描述 活动目录活动目录信息,只存在于DC的系统状态数据中 系统启动文件Windows server 2003操作系统启动时使用 com+类注册数据库类注册数据库是关于组件服务应用程序的数据库 注册表存储了该计算机的配置信息 SYSVOL有关组策略模板和日志命令的共享文件夹信息 认证服务数据库当Windows server 2003计算机是认证服务器时用来验证用户身份的信息 2、备份活动目录数据库时的注意事项 注意事项如下: # 须具有备份权限。默认情况下,管理员组、备份操作员组和服务器操作员组具有备份的权限。 # 活动目录不能单独备份,只能作为系统状态的一部分进行备份,而且只有DC上的系统状态才包括活动目录数据。 # 在DC联机时执行活动目录备份。 3、恢复ad数据库 # 修改目录服务还原模式的administrator密码 # 执行常规恢复 # 执行授权恢复 (1)要想恢复活动目录必须重新启动DC,在启动过程中按F8键进入高级选项菜单,然后选择“目录服务还原模式”。 在目录服务还原模式下活动目录是不能被使用的,因此可以对其进行恢复。 (2)修改目录服务还原模式的administrator密码 进入目录服务还原模式后,只有administrator帐号才可以登录。此时需要提供在安装活动目录过程中指定的目录服务还原模式的administrator的密码。而不是正常登录时的密码。 这个密码如果忘记怎么办? 2003平台支持对该密码的修改,在2000中就回天无力了 DEMO1:如何修改目录服务还原模式下的密码: 三、恢复活动目录的方法 1、常规恢复 利用常规恢复方式可以把活动目录恢复到备份之前的状态,恢复完成后再与网络中现有的DC执行活动
1.1企业端登录设置 1.1.1.添加受信任站点 我们现在用的浏览器,大多数都是IE浏览器,很多第三方浏览器,也都是用IE浏览器内核,所以我们添加受信任站点,只是在IE浏览器基础上设置,支持浏览器的版本IE6、IE7、IE8等版本的浏览器,具体操作如下: 第一步:打开IE浏览器,选择工具栏中的工具->internet选项(如图1-1) 图1-1 第二步:选择安全标签->受信任站点->站点(如图1-2)
图1-2 第三步:在站点操作界面;取消对该区域中的所有站点要求服务器验证(https:)(s)选项->添加将该网站添加到区域内->关闭(如图1-3) 图1-3 第三步:关闭对话框后,在当前画面中单击自定义级别;(如图1-4)
第四步:单击自定义级别,打开选项查找到ActiveX控件和插件;启用相应选项;(如图1-5) 图1-5 第五步:添加完成后,单击确定退出设置区域;关闭IE浏览器重新打开浏览器;判断是否 加载成功如下操作;(如图1-6)
图1-6 登录到注册用户对话框,查看下拉箭头下来选项是否显示出来,是否可以选择,如果都可以,说明系统可以正常使用; 1.1. 2.解决下拉列表问题 如果以上操作都无法打开下拉菜单,就如下操作:选择解决下拉列表问题.exe下载关 闭浏览器安装,然后在重新启动注册,查看是否可以选择下拉选项;(如图2-1) 图2-1 1.1.3.解决无法显示登录、清空、注册等按钮 这个问题主要出现在你当前IE的版本上,如果当前的版本是IE10以上的版本,需要用 兼容的模式,刷新网页才能显示出来;(如图3-1)
图3-1 1.1.4.政府端登录设置 安装客户端插件: 第一步:第一次登录生产环境(例如云南安全生产监督管理局地址:http://220.163.82.253:7006/页面左下方的“IE控件下载”,如图4-1所示。 图4-1 点击页面左下方的“控件安装说明”下载最新版。 第二步:点击“IE控件下载”连接提示,点击“运行”按钮,如图4-2所示。
AD活动目录域信任关系图解 有时候要给学员们讲解AD活动目录域信任关系,所以特地写了这篇文章来说明信任是在域之间建立的关系。AD活动目录域信任关系就是可以使一个域中的用户由其他域中域控制器进行身份验证。 一个林中的域之间的所有 Active Directory 信任都是双向的、可传递的信任。如下图所示:域 A 信任域 B,且域 B 信任域 C,则域 C 中的用户可以访问域 A 中的资源(如果这些用户被分配了适当的权限). 只有 Domain Admins 组中的成员才能管理信任关系. 信任协议 域控制器使用两种协议之一对用户和应用程序进行身份验证:Kerberos version 5 (V5) 协议或 NTLM。Kerberos V5 协议 是 Active Directory 域中的计算机的默认协议。如果事务中的任何计算机都不支持 Kerberos V5 协议,则使用 NTLM 协议.
信任方向 单向信任: 单向信任是在两个域之间创建的单向身份验证路径。这表示在域 A 和域 B 之间的单向信任中,域 A 中的用户可以访问域 B 中的资源。但是域 B 中的用户无法访问域 A 中的资源。单向信任可以是不可传递信任,也可以是可传递信任,这取决于创建的信任类型。 双向信任: Active Directory 林中的所有域信任都是双向的、可传递的信任。创建新的子域时,系统将在新的子域和父域之间自动创建双向可传递信任。在双向信任中,域 A 信任域 B,并且域 B 信任域 A。这表示可以在两个域之间双向传递身份验证请求。双向关系可以是不可传递的,也可以是可传递的,这取决于所创建的信任类型。 信任类型 包括外部信任(不可传递)、快捷方式信任(可传递)、领域信任(可传递或不可传递)、林信任(可传递)。 下面以实例讲解配置两个域之间的信任关系。 域A: 域B 要求域A <—> 域B 两个域相互信任,部分用户资源互访。 配置双向信任关系:
浅析如何培育领导与部属间的信任关系 [在组织机构中,领导与部属之间的关系是一种特殊的人际关系,其特殊性表现为领导与部属之间存在着权力关系、角色关系、信任关系等多重复杂关系。其中权力关系是角色关系、信任关系的基础,而信任关系是其他关系建立的前提。领导与部属之间信任关系的建立,有利于实现领导与部属之间关系的沟通和和谐,保证组织活动的顺利开展,确保组织任务的顺利完成。 —、培育领导与部属信任关系的重要性 1.信任关系的建立能够激励部属的工作积极性。根据马斯洛的需求层次理论可知,人的需求满足程度的高低直接影响其工作的积极性。领导者与部属建立起信任关系,一方面,领导者自然会给予部属更多的关注,能够放心地授权给部属,让部属有施展自己才华的机会;另一方面,部属基于领导者的信任获得了诸多关注,并能够施展自己的才能,从而会全身心地投入工作中。 2.信任关系的建立能使得领导者集中精力于组织决策。领导者与部属之间建立起信任关系后,领导者就会对部属放心授权,让部属去独当一面,领导者就会减少对部属的监督检查时间。使得领导者能够集中精力去思考与规划组织的发展战略,做好组织的决策工作,确保组织能够在复杂多变的环境中完成组织任务。 3.信任关系的建立有利于领导与部属之间沟通的顺利开展。人与人之间信任关系的建立是需要一定的感情基础的,领导者与部属的感情基础的建立离不开双方的有效沟通,信任关系的建立是领导者与部属进行沟通的一个重要前提。信任关系的建立能够消除领导与部属之间的隔阂,实现利益整合,达成合作默契。可以说,信任关系的建立能够提升领导者与部属之间沟通的广度和深度。 4.信任关系的建立有利于部队和睦稳定和各项工作任务的高质完成。信任关系一旦确定,就会大大加快民主的进程。领导会在每项决策能广泛听取部署意见;部署也会知无不言,言无不尽,彻底改变那种“话到嘴边留三分,不可全抛一片心”的旧习,使决策更具民主性科学性。在平日生活中,领导的部署间,无论说话还是相互批评,偶有失言,不实也能互相谅解,讲究团结,不能产生膈胲,做到有者改之,无者加免。此外,由于信任关系的建立,领导者等项决策稍有失误,在平时,下级可当面敢于直阵,特殊情况下,能通过下级能动性工作把失误减少到最低限度或完全纠正,确保工作顺利完成。 二、领导与部属之间建立信任关系的障碍因素分析 1.领导者心理上的障碍。心理上的障碍,主要指领导者担心在与部属沟通、建立信任的过程中,会暴露自己的个性缺点和能力不足,导致其个人领导权威的削弱,日后部属会对自己的命令执行不力,担心在工作中处于被动,在权力行使上成为空架子,不利于自身威信的树立。因而,部分领导者不愿意积极主动地与部属通过各种方式的沟通建立起相互信任的关系。
Windows 添加信任站点和开启所有 ActiveX控件 Internet 选项 事情是这样的,一位朋友是做软件支持的,可是他和我说每次支持都是 要先手动去ie添加信任站点,然后是自定义级别然后把所有的 件全部启动。如果遇到一个不太懂电脑的人还好,但是如果遇到10来个,那重复操作真的很累的,所以我决定帮他搞个脚本自动化,我们先是在ie 中添加信任站点,然后导出注册表。 windows添加信任站点和开启所有activex 控件 诸为不同区域的朕b肉容眉定安全诰晝任〕 InUx-aet 本地夷信任的站 Intrsnst 点 受倩任的站点 此区感包含您信任不会搞窖您餡计 即乳或翌矗的冋站° 谨医域的安至级别(L) 自走文 g卡义设畳 -奏気故设置“请单击杯自越端. -要便用推舂的设置,请单击“默i 目足义赣别①)… 确定 activex 控
炖址?I⑥D:讣劭ku"堂丽傭加信任站亶和幵启舶育桎件.ktnl ! J 郴助谍护廊的安全?*讥m就E驾1叶肝已经限制此文件显示可能访回燃的计算机的活动内容。单击此处査看■选顶 Win dows Registry Editor Versio n 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Wi ndows'Curre ntVersio n\l nternet Setti ngs\Z on eMap'Ra nges]
@="" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\I nternet Settings\ZoneMap\Ranges\Range1] "https"=dword:00000002 ":Range"="200.0.0.1" 后来终于研究好了代码如下: 添加信息站点及将指定IP 添加到本地Intranet 中, "*"=dword:00000002 表示受信任的站点区域"*"=dword:00000001 表示本地Intranet 区域1001 下载已签名的ActiveX 控件 1004 下载未签名的ActiveX 控件 1200 运行ActiveX 控件和插件 1201 对没有标记为安全的ActiveX 控件进行初始化和脚本 运行 1405 对标记为可安全执行脚本的ActiveX 控件执行脚本2201 ActiveX 控件自动提示**