Chinaunix

标题: 域和子域的问题 [打印本页]
作者: tutuit    时间: 2004-04-10 13:06
标题: 域和子域的问题
假设某公司有一域china.com,那么在china.com下建立一子域为beijing.china.com和建立另一个域beijing.com有何区别??在不建立域信任的情况下,是否意味着china.com的域管理员就无法对beijing.com域进行访问或操作,但是china.com的域管理员可以对其子域beijing.china.com进行访问或操作?
作者: grassstar    时间: 2004-04-12 09:53
标题: A:
china.com 和beijing.china.com 是域与子域的父子关系,共处在一个森林中,两者是双向信任的,域之间可以互访,但也并不意味着china.com的域管理员可以对beijing.com域 ,仍是两个不同域,另域是安全边界,域管理员的权限仅局限于一个域内,

beijing.com与china.com之间,当然就不必说了,互不相关,
作者: tomdoctor    时间: 2004-04-12 11:09
很久没有看过活动目录的东西了 我想知道的是 信任域之间的互相访问是什么概念 应该说访问不是管理 那就是说根管理员不能对子域的管理员进行策略的定义和配置 同时 应该能否通过enterprise admins应该可以打破域之间的管理关系的
作者: tutuit    时间: 2004-04-12 14:51
标题: Re: A:
最初由 grassstar 发布
[B]域是安全边界,域管理员的权限仅局限于一个域内,[/B]


既然beijing.china.com是china.com的子域,那么是否可以认为beijing.china.com属于china.com??如果是这样的话,那么china.com的域管理员对beijing.china.com进行管理不是也是属于你所说的“域管理员的权限仅局限于一个域内”的吗?

另:还是说父域和子域之间如果没有进行特殊的设置的话,那么他们之间只是名称上的一种父子关系而已,却并没有什么除了可以互相访问之外的实在的联系??
作者: tomdoctor    时间: 2004-04-12 19:16
是的 他们只是名义上的父子关系 并不能相互进行管理 但是企业管理组的成员打破了这个限制 可以管理森林中的所有成员 ( 好像是 :) )
作者: grassstar    时间: 2004-04-13 15:13
标题: ~~
或许我上面说的,有点错误,
子域创建后,缺省,父域是可以管理子域,但反之不行,
作者: grassstar    时间: 2004-04-13 15:20
标题: ~~
我把该帖设为精华,希望有这种管理经验的朋友共享一些经验, 有时间我也会去试一试,
Thanks,
作者: tomdoctor    时间: 2004-04-13 22:46
标题: Re: ~~
最初由 grassstar 发布
[B]或许我上面说的,有点错误,
子域创建后,缺省,父域是可以管理子域,但反之不行, [/B]

呵呵 我也没有去试 已经把目录给删了
但我想 之所以会这样 是因为根域的管理员是enterprise admin组的成员
请继续讨论
作者: grassstar    时间: 2004-04-14 10:58
标题: ~~
谢谢tomdoctor,通过它,大家根据自己的判断可以吸收一些有用的东东,

根域的超级管理员缺省是可以管理子域的,主要原因也是tomdoctor所说的“因为根域的管理员是enterprise admin组的成员 ”;

MICROSOFT一直强调“域是管理边界”,这种现象也真不好去理解,或许小帅的“域是安全的边界是指策略的应用来说的”,是有道理的,
作者: madeinsuzhou    时间: 2005-02-02 16:12
标题: 谢谢tomdoctor
对域并不了解,但看了tomdoctor的文章,觉得有所收获!
作者: angzi    时间: 2005-02-06 02:12
谢谢诸位楼主,我也刚遇到此类问题,看了以上的讨论,很有收获。
作者: lovenet    时间: 2005-04-12 13:03
哪位高手给我讲讲怎样进行域的管理?从那些方面着手?
作者: piziwantsay    时间: 2005-04-12 17:44
总觉得微软这个域的概念在实际应用中好像很少,以前考MCSE时对活动目录这一课程没做过深入的研究,都是应付考试罢了,不知道域的概念在现实中应用的多不多?
作者: Lionared    时间: 2005-04-12 18:18
不少大企业都是用AD来管理的,AD是个好东西
作者: piziwantsay    时间: 2005-04-12 18:29
Lionared
以后请多多指教!
作者: 16879341    时间: 2005-04-13 11:07
能否可以发一点关于域的资料给我.
非常感谢!!~~~~
wy_2002_521@163.com              QQ:16879341
作者: piziwantsay    时间: 2005-04-13 13:21
去FTP下载点MCSE课程中关于活动目录的课程吧
作者: squall91009    时间: 2005-04-13 18:06
安全边界指的是authorization边界。大家一定没有忘记每个域控制器都是一个KDC,所有的client都需要用kerberos验证自己的身份。而每个域控制器只能生成自己的kerberos key以及利用信任关系向子域发放TGT。如果一个user需要访问另一个域,必须使用自己的token通过kerberos向所在域进行验证,然后通过KDC拿到上一层域的TGT。。。知道被转到要访问的域为止。在同一个森林里添加新域时默认建立的信任关系在整个森林里都是双向传递的。
另外,如果这个域处在native mode, 那么有domain local group, global group和universal group。每一个group都有自己的作用范围。你的帐号处在哪一种group才是影响权限范围的因素。
活动目录不是想象中的安全边界,信任关系,几个UI里的objects那么简单。强烈建议大家看看kerberos authentication和了解一下schema,ADSI的概念。
作者: dwxt    时间: 2005-09-12 14:07
小弟也想知道 到底这个东西在中国的公司里面用的多吗???
感觉很难学的也很难理解  你说美国人怎么都想用这些东西来管理公司呢???
作者: zeno2005    时间: 2005-09-12 14:26
最初由 piziwantsay 发布
[B]总觉得微软这个域的概念在实际应用中好像很少,以前考MCSE时对活动目录这一课程没做过深入的研究,都是应付考试罢了,不知道域的概念在现实中应用的多不多? [/B]


多多了。。。
作者: 慕容雪月    时间: 2005-10-06 14:47
大公司的域,肯定很重要的啦,小公司么,呵呵,就算了哦!
作者: 慢波    时间: 2006-01-29 14:14
回应楼主的问题:
域在安装起来的原始默认状态是父域管理子域,子域间无法互访。注意:是默认状态下的情况!域管理按需要做的修改那是管理员的事,那个情况已经不是理论上的域状态,而是实际上的域状态。

再回应一下楼上n位网友的讨论:
在安装默认状态是只能由父级管理子级,子级不能管理父级或同级。当然我们在建立起一个域或者域树就不仅仅只在这种状态下管理我们的所有计算机,都要通过设置权限来达到我们的需要。权限放的越宽,域的安全边界就越宽,权限放的越窄,域的安全边界就越窄。如果添加了域间信任,那还要看看信任的程度去到哪里。完全信任的话,域的安全边界就包含互相信任的域的双方。完全不信任的话,就是在本域内是最安全的。这个安全是相对的,是站在域管理员的角度考虑的,旁人要捣乱的话就是这个域管理员的技术问题,不在这个讨论范围之内。


使用微软的产品,没有绝对的安全!
作者: 慢波    时间: 2006-01-29 14:35
楼主还可以参考一下下面这篇文档,篇幅比较长,在文档的中间部分说明了你的这个问题。
http://www.ourways.com/doc/adarch/adarch.htm
作者: degugu1    时间: 2009-08-29 21:59
我也不是很明白,但我知道有了子域后,在父域AD里面会多一个企业组,这个组里的用户可以跨域吧,,不知道说的对不对。不对,请发信息给我,,谢谢!



欢迎光临 Chinaunix (http://bbs.chinaunix.net/) Powered by Discuz! X3.2