Windows 2008 Serwer – Środowisko wielodomenowe i relacje zaufania (70-640) cz.19

Print Friendly, PDF & Email

Do tej pory zajmowaliśmy się jedynie środowiskiem złożonym z pojedynczej domeny, jednak musimy również wiedzieć w jaki sposób działają rozległe środowiska składające się z co najmniej 2 domen, które tworzą las domeny.
W przypadku środowisk wielodomenowych musimy zapewnić możliwość pozostania domen we wzajemnych relacjach o ile zachodzi taka konieczność.
Przećwiczymy w praktyce reakcję zaufania pomiędzy domenami.

Wymagania:
1.Server01 w domenie contoso.com,

2.ServerST w domenie tailspintoys.com.


1.Konfiguracja DNS:

Musimy utworzyć skróconą strefę tailspintoys.com dla contoso.com.

Uruchamiamy DNS.
Tworzymy strefę wyszukiwania do przodu.
Klikamy Next..
Wybieramy Stub zone (strefa skrócona).
Store the zone in Active Directory…
Wpisujemy tailspintoys.com.
Na stronie Master DNS Servers wpisujemy IP ServerST(10.0.0.111)
I kończymy…
Logujemy się na ServerST.
Otwieramy DNS.
Wybieramy New Conditional Forwarders.
Wpisujemy nazwę domeny oraz IP.

2. Tworzymy relację zaufania.


Umożliwimy użytkownikom  domeny tailspintoys.com logowanie do domeny contoso.com.
Logujemy się na Server01.
Otwieramy AD Domains and Trusts.
Przechodzimy na Trusts.
Klikamy na New Trusts.
W polu nazwa wpisujemy tailspintoys.
Zaznaczamy External Trust.
Wybieramy One-way: outgoing.
Zaznaczamy This Domain Only.
Wybieramy Domain-Wide Authentication(Uwierzytelnianie dla całej domeny).
Wpisujemy hasło, musimy je zapamiętać ponieważ takie samo wpiszemy w drugiej domenie.
Nie potwierdzamy zaufania do czasu ustawienia zaufania w drugiej domenie.


Kończymy.
Logujemy się na ServerST.
Otwieramy AD Domains and Trusts.
Wybieramy Properties.
Wybieramy New Trust.
Wpisujemy contoso.com
Wybieramy One-Way Incoming.
Wpisujemy hasło takie samo jak przy konfiguracji dla domeny contoso.com
Wybieramy domyślne opcje na koniec Finish.
Wynik końcowy.

3.Test relacji zaufania.

Logujemy się na Server01.
Otwieramy AD Domains and Trusts.
Przechodzimy na Trusts.
Sprawdzenie zaufania działa.
4.Dostęp do danych w innej domenie.

Tworzymy gr. globalną o nazwie Zespół produktowy w domenie tailspintoys.com.
Tworzymy gr.globalna o nazwie Projektanci produktu w domenie contoso.com
Tworzymy gr. lokalną o nazwie Projekt o nazwie ACL_Proukt_Dostęp w domenie contoso.com
Na dysku C: dla Server01 utworzymy katalog Projekt.
Dodajemy możliwość Modify dla katalogu Projekt. 
Do ACL_Produkt_Dostep dodajemy Projektanci produktu.
Dodajemy również zespół projektowy z domeny tailspintoys.
W tym celu musimy po Add w pole wyszukiwania wpisać:tailspintoyszespol projektowy, następnie musimy w oknie podać hasło dla Administratora domeny tailspintoys.
W wyniku powinniśmy otrzymać poniższy zestaw uprawnień,
5.Uwierzytelnianie selektywne.
Uwierzytelnianie selektywne pozwala na ograniczenie możliwości logowania się użytkowników z domeny tailspintoys.com w domenie contoso.com.
Logujemy się naServer01.
Otwieramy AD Domains and Trusts.
Zaznaczamy contoso.com prawym klawiszem myszy, wybieramy Properties.
Przechodzimy na Trusts.
Zaznaczamy tailsspintoys.com, wybieramy Properties.
Przechodzimy na Authentication.
Wybieramy Selective Authentication.
Otwieramy AD Users and Computers na Server01.
W View wybieramy  Advanced Features.
Przechodzimy do OU Domain Controllers.
Zaznaczamy Server01, wybieramy Properties.
Przechodzimy na Security.
Klikamy na Add.
Dodajemy grupę Zespol produktowy w domenie tailspintoys.
Musimy podać hasło Administratora dla domeny tailspintoys.
I dodaliśmy grupę w domenie contoso.com
Koniecznie musimy zaznaczyć Allow dla Allowed to Authenticate.
Dzięki czemu w/w grupa tylko i wyłącznie będzie miała dostęp do domeny contoso.com, ale tylko na maszynie Server01.
Inni użytkownicy z domeny tailspintoys nie będę mieli dostępu do Server01. 


Print Friendly, PDF & Email

Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.

Link do formularza tutaj: https://beitadmin.pl/pomysly

Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).

Dodaj komentarz

beitadmin.pl - Droga Administratora IT