精华内容
下载资源
问答
  • 在同一个内,成员服务器根据Active Directory中的用户账号,可以很容易地把资源分配给内的用户。 但一个的作用范围毕竟有限,有些企业会用到多个,那么在多环境下,我们该如何进行资源的跨域分配呢? ...

    问题

    在同一个域内,成员服务器根据Active Directory中的用户账号,可以很容易地把资源分配给域内的用户。
    但一个域的作用范围毕竟有限,有些企业会用到多个域,那么在多域环境下,我们该如何进行资源的跨域分配呢?

    解决方法

    1.镜像账户

    如何把A域的资源分配给B域的用户呢?

    方法:在A域和B域内各自创建一个用户名和口令都完全相同的用户账户,然后在B域把资源分配给这个账户后,A域内的镜像账户就可以访问B域内的资源了。

    存在问题:账户的重复建设等

    2.创建域信任关系

    1.域信任关系是有方向性的,如果A域信任B域,那么A域的资源可以分配给B域的用户;但B域的资源并不能分配给A域的用户,如果想达到这个目的,需要让B域信任A域才可以。
    2.如果A域信任了B域,那么A域的域控制器将把B域的用户账号复制到自己的Active Directory中,这样A域内的资源就可以分配给B域的用户了。从这个过程来看,A域信任B域首先需要征得B域的同意,因为A域信任B域需要先从B域索取资源。

    域信任关系

    域的信任关系的主动权掌握在被信任域手中而不是信任域
    A域信任B域,意味着A域的资源有分配给B域用户的可能性,但并非必然性!如果不进行资源分配,B域的用户无法获得任何资源!

    NT4到Windows2000的域关系的转变

    NT4的域时代

    信任关系是不具有传递性的。
    也就是说如果A域信任B域,B域信任C域,那么A域和C域没有任何关系。

    Windows2000之后

    允许在域树和域林内进行信任关系的传递
    在Win2003中更是允许在域林之间进行信任关系的传递。

    域树

    域树针对以上问题进行了很好的解决,域树的父域和子域之间由于使用了层次分明的DNS域名,只要根据域名我们就可以判断出两个域的隶属关系例如有两个域abc.com和test.abc.com,我们可以很轻易地判断出后者是前者的子域。

    域树在信任关系上也有很好的改进,域树内的各个域之间会自动建立起双向可传递的信任关系,显然这是一个效率上的重大改进。

    AD域组策略

    概念

    组策略是一个允许执行针对用户或计算机进行配置的基础架构
    其实通俗地说,组策略和注册表类似,是一项可以修改用户或计算机设置的技术。

    组策略和注册表的区别

    注册表只能针对一个用户或一台计算机进行设置;
    组策略却可以针对多个用户和多台计算机进行设置。
    

    举例:
    在一个拥有1000用户的企业中,如果我们用注册表来进行配置,我们可能需要在1000台计算机上分别修改注册表。但如果改用组策略,那只要创建好组策略,然后通过一个合适的级别部署到1000台计算机上就可以了。

    组策略和Active Directory结合使用,可以部署在OU,站点和域的级别上,当然也可以部署在本地计算机上,但部署在本地计算机并不能使用组策略中的全部功能,只有和Active Directory配合,组策略才可以发挥出全部潜力。 组策略部署在不同级别的优先级是不同的,本地计算机<站点<域<OU。 我们可以根据管理任务,为组策略选择合适的部署级别。

    什么是组策略对象?

    组策略是通过“组策略对象(GPO)”来设定的,只要将GPO连接到指定的站点、域或OU、该GPO内的设定值就会影响到该站点,域或OU内的所有用户于计算机。

    组策略存储位置
    1. 链接GPO的Active Directory容器
     2. 域控制器上的Sysvol文件夹
    

    组策略对象GPO的组成

    1.组策略容器(GPC)
    GPC包含GPO的属性信息,
    存储在域中每台域控制器活动目录中
    
    2.组策略模板(GPT)
    GPT 包含GPO 的数据,
    存储在Sysvol 的 /Policies 子目录下
    

    组策略管理

    组策略管理可以通过组策略编辑器和组策略管理控制台(GPMC)

    组策略编辑器是Windows操作系统中自带的组策略管理工具,可以修改GPO中的设置。
    GPMC则是功能更强大的组策略编辑工具,GPMC可以创建,管理,部署GPO,最新的GPMC可以从微软网站下载。

    组策略应用

    1. 帐户策略的设定

    例如设定用户密码的长度、复杂度、使用的期限,帐号锁定策略等。

    2. 本地策略的设定

    例如审核策略的设定、用户权限的指派、安全性的设定

    3.部署软件

    思路
    1.把要部署的软件存储在文件服务器的共享文件夹中
    2.然后通过组策略告知用户用户或计算机,某某服务器的某某文件夹有要安装的软件,赶紧去下载安装。
    3.设置好组策略,就可以等待客户机自动进行软件安装了,完全不用在客户机上一一进行部署了。

    展开全文
  • 域信任关系

    2020-08-31 23:35:33
    同时,信任利用DNS服务器定位两个不同子域的控制器,如果两个中的控制器都无法找到另一个,那么也就不存在通过域信任关系进行跨域资源共享了。 域信任关系分为单向信任和双向信任: 单向信任是指在两个...

    域信任

    域信任是为了解决多域环境中的跨域资源共享问题而诞生的。两个域之间必须拥有信任关系(trust relationship),才可以访问到对方域内的资源。任何一个新的子域被加入到域树之后,这个域会自动信任其上一层的父域,同时父域也会自动信任新子域,而且这些信任关系具备双向传递性(two-way transitive)。由于此信任工作是通过Kerberos security protocol来完成的,因为也被成为 Kerberos Trust。

    域信任作为一种机制,允许另一个域的用户在通过身份验证后访问本域中的资源。同时,域信任利用DNS服务器定位两个不同子域的域控制器,如果两个域中的域控制器都无法找到另一个域,那么也就不存在通过域信任关系进行跨域资源共享了。

    域信任关系分为单向信任和双向信任:

    • 单向信任是指在两个域之间创建单向的信任路径,即在一个方向上是信任流,在另一个方向上是访问流。在受信任域和信任域之间的单向信任中,受信任域内的用户或计算机可以访问信任域中的资源,但信任域内的用户却无法访问受信任域内的资源。也就是说,若A域信任B域,那么B域内受信任的主体可以访问A域内信任B域的资源。
    • 双向信任是指两个单向信任的组合,信任域和受信任域彼此信任,在两个方向上都有信任流和访问流。这意味着,可以从两个方向在两个域之间传递身份验证请求。活动目录中的所有域信任关系都是双向可传递的。在创建子域时,会在新的子域和父域之间自动创建双向可传递信任关系。在早期的域中,域信任是单向的,从Windows Server2003开始,域信任关系变为双向的。

    域信任还分为内部信任和外部信任

    • 在默认情况下,使用活动目录安装向导将新域添加到域树
    展开全文
  • 在Windows7下进行资源共享时,输入\\IP,提示错误:"此工作站和主间的信任关系失败"。在提供资源的电脑上安装此补丁解决。此类问题主要发生在加入的电脑中。
  • 背景:此工作站和主信任关系失败(客户机连接服务器)。 问题 问题分析 如果不能远程连接到服务器,我们也不能ping通服务器,有可能是我们的服务器 解决方案: 一.重启; 用这种方法不行 二.重加 1.重新...

    背景:此工作站和主域的信任关系失败(客户机连接服务器)。

    问题
    在这里插入图片描述
    在这里插入图片描述
    问题分析
    如果不能远程连接到服务器,我们也不能ping通服务器,有可能是我们的服务器脱域

    解决方案:
    一.重启(重启对大多数问题是有效果);

    用这种方法不行;

    二.重加域
    1.重新退出域;
    2.重新加入域;

    以下则表示成功
    在这里插入图片描述
    limited其实对网络没有影响
    在这里插入图片描述

    最终解决方案:是由于我没有把这个server加入到ou,然后出现这样
    情况。

    展开全文
  • 控制器失去信任关系问题处理

    千次阅读 2019-08-26 11:14:37
    由于内客户端或服务器长时间未登录或其他原因导致控制器失去信任关系 常见的原因有以下两种。 1、计算机有在域服务器中有重名、或该计算机被disabled、或被删除 DNS----清理果实的资源记录,设置老化时间,...

    由于域内客户端或服务器长时间未登录或其他原因导致域控制器失去信任关系

    常见的原因有以下两种。

    1、计算机有在域服务器中有重名、或该计算机被disabled、或被删除

    DNS----清理果实的资源记录,设置老化时间,开启安全的动态更新

    原因:DNS开启了安全动态更新,如果老化时间过长,在第一台机器开机更新后,注册了一个IP地址,而其关机后,此IP地址被另外一台机器用,另外一台机器开机了,因为老化时间未到,以及没有清理过时的记录,这个电脑又注册了这个ip地址,就造成了2个名称注册一个A记录

    2、计算机超过30天没有登陆过域,导致安全通道密码发生变化,需要重置安全通道密码

     这种情况多出现在常需要出差的笔记本上,在外地(域环境外)登录域,是以保存在本地的域密码对照,并为域域服务器沟通,最终导致 安全通道密码过期

    原因:域客户端和域控制器信任关系丢失,断线登录使用的凭据

    windows系统的电脑有一个电脑账户密码历史记录machineaccountpasswordhistory为了让windows系统的电脑登录域,这台电脑必须要与预控建立一个安全通道用来身份验证,客户端电脑上的netlogon服务会使用这台客户端的电脑账户machineaccount和一个相关密码去建立安全通道,如果这个计算机账户密码和LSA不同步,那么这台电脑将无法链接到域。默认计算机账户密码30天会变更一次。

     

    第一种情况一般只需要重新插拔网线,让客户端重新获取IP即可解决,在命令行模式下释放IP重新获取,

    命令:释放IP:ipconfig /release, 重新获取IP:ipconfig /renew。

    第二种情况最常用的方法是登录本地管理员账号,然后退域重加。另一种方法就是重新修复建立域主域之间的信任关系

    以下命令在powershell下执行

    第一步获取当前凭证,然后输入域用户名和密码

    Get-Credential 

    第二步检查本地计算机与其域之间的安全通道的信任关系的状态,来验证安全通道是否正常工作。如果连接失败,则使用 Repair 参数尝试恢复。如果返回flase,则多执行几次 直到返回true即可。如果多次执行仍然失败那只能退域重加了

    Test-ComputerSecureChannel -Repair -Credential $cred

    展开全文
  • 域信任关系攻击指南

    2019-10-20 18:14:59
    结合去年PowerView做出的改动,最终使我更新了枚举和攻击域信任关系的文章。这将是我最后一篇讲解关于域信任关系攻击的文章,大概有8000字,读起来并不轻松。通常情况下,我不会仅仅写出我的操作笔记----我尽量详细...
  •  我们在上一篇文章中创建了域信任关系,这个信任关系发生在两个Win2003域之间,而且两个域使用了同一个DNS服务器。今天我们更换一个实验场景,拓扑如下图所示。一个是Win2003域,另一个是Win2008域。两个域都使用...
  • 此工作站和主间的信任关系失败

    千次阅读 2019-07-11 09:17:00
    此工作站和主间的信任关系失败 在服务器的日志上,这个错误应该大家都不陌生了,错误的特征,我给大致描述一下: 在中总是会有计算机由于某种原因,导致计算机账户的密码无法和 lsa secret 同步系统会在计算机...
  • 基本场景是想从一台Server服务器直接登录另一台,或者将Server服务器的数据不需密码验证直接拷贝至Client服务器,以下我们简称Server服务器为S(待发送的数据文件在这台服务器上),Client服务为C,信任关系的最简单...
  • 如何为Active Directory信任关系配置防火墙 适用于:Windows Server 2008 StandardWindows Server 2008 R2 StandardMicrosoft Windows Server 2003 Standard Edition(32位x86)更多 摘要 本文介绍如何...
  • 原因: 域控服务器没有客户端 的主机名(可能删除了,或重装系统后没添加到域控) 处理: 在域控上确认 客户端 主机名是否被禁用,如已禁用,启动即可。 转载于:https://www.cnblogs.com/sjdn/p/5923669.html...
  • Linux服务器信任关系建立方法

    千次阅读 2019-01-10 16:41:09
    在Linux服务器之间建立信任关系,是很多线上服务系统的基础性工作,这样能便于程序在多台服务器之间自动传输数据,或者方便用户不输入密码就可以在不同的主机间完成登录或者各种操作。 网上关于建立Linux信任关系...
  • lft forever inet6 fe80::a00:27ff:fea4:e2a0/64 scope link valid_lft forever preferred_lft forever 创1建林间信任关系 设置DNS转发器 2008: 2012: 配置完成之后,两台控制器互相ping对方的域名,验证能否...
  • 与域控制器失去信任关系问题排查

    千次阅读 2014-11-26 11:05:29
    相信在部署有环境的公司兼职过网络管理员的技术员都遇到过此类报障: 与域控制器失去信任关系原因可能是:1、计算机有在域服务器中有重名、或该计算机被disabled、或被删除DNS----清理果实的资源记录,设置老化...
  • 验证根域与域树的的信任关系 报错:找不到树中的控制器 原因:根服务器使用的本机的DNS来解析,DNS中并没有树hehe.com的查找区域,根找不到hehe.com的。需要添加一条转发器进行解析转发 创建一条...
  • 如何建立两个域之间信任关系

    千次阅读 2010-09-21 22:01:39
    由上可知,对于同一个林或不同林中的用户,建立信任关系是多么有必要。这样可以减少工作量,简化工作复杂度。 建立信任关系的第一步是需要建。 建的步骤就不在这里详细描述了。 运行dcpromo...
  • 在同一个内,成员服务器根据Active Directory中的用户账号,可以很容易地把资源分配给内的用户。但一个的作用范围毕竟有限,有些企业会用到多个,那么在多环境下,我们该如何进行资源的跨域分配呢?也就是...
  • 如何建立域信任关系

    2011-08-15 10:40:32
    2个不同域, 如何建立信任关系, 是否需要修改那些设置? 请提供详细步骤. 另外, 完成后多长时间生效, 是否需要重启哪些服务? 回答:根据您的描述,我对您提出的问题的理解是:您想知道如何在两个不同域之间建立信任。...
  • 之间信任关系

    2017-11-14 22:20:00
    大家应该知道,使用WIN2003创建的AD(林)中的各个域之间信任关系默认就是双向信任可传递的.那么如果企业的应用中如果出现了两个林或更多的林时,还要进行相互的资源访问时,我们该怎么办?因为默认只是同在一个林中才能...
  • 我们在配置域之间信任关系的时候,往往难点都不会出现添加信任域之间,而是出现在配置域之间的DNS服务器上 下面我以2008 R2为例开始: 首先我有2台域控,一台是A.com的域控(IP为IP_A),一台是B.com的域控(IP...
  • 使用用户登录时提示没有此工作站信任关系的计算机账户 1、用本地管理员登陆到计算机2、打开计算机属性,在计算机名选项卡上点击“更改”,然后点击“其他”3、将“此计算机住DNS后缀”清空,注销后就可以...
  • windows server 2012 域信任关系

    千次阅读 2014-04-26 18:46:02
    windows server 2012域信任关系1、父子 abc.com sales.abc.com2、两个不同 abc.combcd.com父子信任关系是双向的,信任好以后,双方的资源可以互相访问,子域的管理员只能管理子域,父管理员能够管理...
  • 如何创建两个域之间信任

    千次阅读 2012-07-20 16:49:08
    如何创建两个域之间信任 DC1的操作 设置DNS 转发器. 1.从“开始”菜单-》控制面板-》管理工具-》DNS 启动DNS控制台。 2.在Server 上右击选择属性,然后单击"转发器" 3.选择->新建->添加lcmcom...
  • 域信任:建立域之间信任关系,是为了一个域的用户能方便地访问其他域的资源,同时也方便了对域网络的管理和维护。这种模式在带来便利的同时,也存在很多可以被恶意攻击者利用的地方。 ...
  • 域与子域之的信任关系

    千次阅读 2013-07-15 11:42:03
    搭了一个测试环境,做一个父、子域间信任关系的测试,过程如下:两台测试服务器,主为primary.com,子域为child.primary.com客户机Clientpri加入父,客户机Clientcli加入子域,父中有一个用户为Primary01,...
  • 今天给客户Exchange 服务器出现了脱的情况,当使用帐户登录时出现了“此工作站和主间的信任关系失败”的情况。造成这种的可能原因: 内存在了多台SID一样的计算机; 计算机对象在AD中意外删除; 客户端的...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 13,490
精华内容 5,396
关键字:

服务器与域之间的信任关系