信息系统安全工程师--第五十二课之多域间的访问

前面的课程，都是介绍的在单域环境下的网络管理，虽然单域环境满足大部分的需求，但是在实际中也会遇到多域的环境，例如公司中有多个分公司，用户账户和其他资源比较多，如果还是用单个域来管理效率不高，这就需要创建有上下级关系的多格域来管理网络资源，或者一个域中的账户需要访问另一个域中的资源等等。本大节主要讲解windows2003林、域树和子域的概念，以及实现多域间访问资源的方法。
案例如下：IT者公司组建了一个单域，域名为itzhe.org。北京有个分公司需要创建独立的域，分公司与总公司的域命名上有继承关系，例如北京分公司域名为bj.itzhe.org。总部的部分账户有权访问分公司域中的资源，如共享文件夹等。如果实现上述需求？
在安装活动目录过程中，在创建一个新域时有3个选项，即在新林中的域、在现有域树中的子域、在现有的林中的域树，这里涉及3个概念：林、域树、子域，下面我们详细介绍下这些概念。
1.域树和子域
windows域名是符合DNS标准的，就像前面所学的windows域itzhe.org的域名就是DNS结构。
域树是共用连续域名空间的windows域，也就是说在一个域树中，所有域名的后缀都相同。域树的第一个域是该域树的根。单个域构成一个单域的域树。
向域树中添加的任何新域都叫做子域。子域上层的域是父域。子域的域名是由子域本身的名字和父域域名结合而成的DNS名，IT者总公司的域名为itzhe.org，本机分公司的域名为bj.itzhe.org。
2.林
单个域树或者多格域树构成林。林中的不同域树不共用连续的域名空间。林中的所有域公用相同的配置、架构和全局编录。第一个域树的域名为itzhe.org，第二个域树的域名为itzhe.com。两个域树构成一个林，但不共用相同的域名空间。
3.林的根域
在林中创建的第一个域教做林的根域。enterprose admins和schema adminis这两个预定义的租，只存在于林中的根域，其他域是没有的。使用‘active directory 用户和计算机’可以查看林中的根域存在enterprose adminis和schema adminis组。
这两个组的作用是：
enterprose adminis（企业管理组）：可以对活动目录中整个林作为修改，例如添加子域
schema adminis（架构管理组）：可以对活动目录中整个林作架构修改。