Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 56 (всего у книги 91 страниц)
компьютеров, д о в е р и т е л ь н ы х связей, и осуществляют преобразование структу-
ры безопасности. Э т и з а д а ч и в ы п о л н я ю т с я также с помощью консоли A DM T
и л и к о м а н д н о й с т р о к и , где к о м а н д а Admt.exe упрощается и автоматизируется с
помощью ф а й л о в о п ц и й , у к а з ы в а ю щ и х параметры для задачи миграции. Затем
объекты д л я м и г р а ц и и м о ж н о п е р е ч и с л и т ь с помощью простого текстового
файла, вместо т о г о ч т о б ы в в о д и т ь к а ж д ы й объект в командную строку. Кроме
того, инструмент A D M T обеспечивает интерфейсы, позволяющие использовать
сценарии задач м и г р а ц и и на таких языках, как Microsoft VBScript. Запустите
консоль A D M T и о т к р о й т е сетевую справку Help, чтобы получить сведения
об A D M T в к о м а н д н о й с т р о к е и создании сценариев для ADMT.
При в ы п о л н е н и и з а д а ч м и г р а ц и и утилита A D M T позволяет эмулировать
миграцию, ч т о б ы о ц е н и т ь п о т е н ц и а л ь н ы е результаты и ошибки без внесения
изменений в к о н е ч н ы й домен. М а с т е р ы этой утилиты позволяют тестировать
параметры м и г р а ц и и и в ы п о л н и т ь ее позже с помощью соответствующей опции
Test T h e Migration Settings And Migrate Later (Тестировать настройки миграции
и в ы п о л н и т ь м и г р а ц и ю п о з ж е ) . З а т е м задачу миграции можно отконфигури-
ровать, п р о т е с т и р о в а т ь п а р а м е т р ы , просмотреть файлы журналов и отчеты,
генерируемые мастерами. Процесс тестирования и анализа результатов будет
повторяться по мере м и г р а ц и и пользователей, групп и компьютеров, а также
выполнения п р е о б р а з о в а н и й безопасности.
Миграция и и д е н т и ф и к а т о р ы б е з о п а с н о с т и
Главной з а д а ч е й п р и в ы п о л н е н и и любой миграции является непрерывный
доступ к ресурсам. Кроме того, д л я выполнения миграции необходимо хоро-
шо знать к о н ц е п ц и и и д е н т и ф и к а т о р о в безопасности SID (Security Identifier),
I 5 7 8 Домены и леса
Глава 12
маркеров, списков контроля д о с т у п а A C L (Access C o n t r o l L i s t ) и а т р и б у т а
sIDHistory.
Идентификаторы безопасности S I D – это у н и к а л ь н ы е в д о м е н е з н а ч е н и я ,
которые назначаются учетным з а п и с я м п р и н ц и п а л о в б е з о п а с н о с т и ( н а п р и м е р ,
пользователи, группы и компьютеры), когда с о з д а ю т с я э ти у ч е т н ы е з а п и с и .
При входе пользователя генерируется м а р к е р с о с н о в н ы м S I D – и д е н т и ф и к а т о -
ром учетной записи пользователя и S I D – и д е н т и ф и к а т о р а м и групп, к о т о р ы м
принадлежит пользователь. Таким образом, м а р к е р п р е д с т а в л я е т п о л ь з о в а т е -
ля с помощью всех S I D – и д е н т и ф и к а т о р о в , с в я з а н н ы х с п о л ь з о в а т е л е м и его
членством.
Безопасность ресурсов обеспечивается с п о м о щ ь ю д е с к р и п т о р а безопас-
ности SD (Security Descriptor), к о т о р ы й о п и с ы в а е т р а з р е ш е н и я , в л а д е н и е ,
расширенные права и аудит ресурса. В д е с к р и п т о р е б е з о п а с н о с т и SD есть
два списка контроля доступа ACL (Access C o n t r o l L i s t ) . С и с т е м н ы й с п и с о к
ACL (System ACL, SACL) описывает аудит. Д и с к р е ц и о н н ы е с п и с к и A C L ( D i s -
cretionary ACL, DACL) о п и с ы в а ю т р а з р е ш е н и я д о с т у п а к ресурсу. М н о г и е
администраторы и документы н а з ы в а ю т д и с к р е ц и о н н ы й с п и с о к A C L просто
списком ACL. В списке DACL, к о т о р ы й п е р е ч и с л я е т р а з р е ш е н и я , с в я з а н н ы е
с принципалами безопасности, о т д е л ь н ы е э л е м е н т ы к о н т р о л я д о с т у п а А С Е
(Access Control Entries) связывают к о н к р е т н о е р а з р е ш е н и е с S I D – и д е н т и ф и -
катором принципала безопасности. Э л е м е н т ы А С Е т а к ж е м о г у т р а з р е ш а т ь
и запрещать права доступа.
Когда пользователь пытается п о л у ч и т ь д о с т у п к ресурсу, л о к а л ь н а я под-
система авторизации LSASS (Local Security A u t h o r i t y S u b s y s t e m ) с р а в н и в а е т
SID-идентификаторы в маркере пользователя с S I D – и д е н т и ф и к а т о р а м и в эле-
ментах разрешений АСЕ в списке к о н т р о л я доступа ( A C L ) к ресурсу.
При миграции учетных записей в н о в ы й д о м е н э т и у ч е т н ы е з а п и с и к л о н и -
руются или копируются из начального д о м е н а в к о н е ч н ы й . Д л я э т и х у ч е т н ы х
записей в конечном домене г е н е р и р у ю т с я н о в ы е S I D – и д е н т и ф и к а т о р ы , т а к
что SID-идентификаторы новых у ч е т н ы х з а п и с е й будут о т л и ч а т ь с я от S I D -
идентификаторов учетных записей в н а ч а л ь н о м домене. Т а к и м образом, д а ж е
несмотря на то, что клонированные учетные з а п и с и будут и м е т ь т а к о е же и м я
и многие свойства, по причине разных S I D – и д е н т и ф и к а т о р о в э т и учетные, за-
писи технически отличаются и не будут иметь доступа к ресурсам в н а ч а л ь н о м
домене. Эту проблему можно решить д в у м я способами: с п о м о щ ь ю атрибута
sIDHistory или путем преобразования безопасности.
• Атрибут sIDHistory Д л я реструктуризации д о м е н а на п р е д п р и я т и и , как
правило, предпочитают использовать атрибут sIDHistory. З а г л а в н ы е буквы
свидетельствуют о применении атрибута в схеме Active Directory. П р и н -
ципалы безопасности Active Directory ( в к л ю ч а я пользователей, г р у п п ы и
компьютеры) обладают S I D – и д е н т и ф и к а т о р о м п р и н ц и п а л а и а т р и б у т о м
sIDHistory, который содержит один и л и н е с к о л ь к о S I D – и д е н т и ф и к а т о р о в ,
также связанных с этой учетной записью. П р и к о п и р о в а н и и учетной за-
писи в конечный домен в структуре Active D i r e c t o r y к о н е ч н о г о домена
генерируется уникальный SID-идентификатор п р и н ц и п а л а безопасности.
^ Занятие 2 Управление множеством доменов и доверительными связями 5 7 9
П р и ж е л а н и и а т р и б у т sIDHistory м о ж н о загрузить вместе с SID-идентифи-
к а т о р о м у ч е т н о й з а п и с и в н а ч а л ь н о м домене. Когда пользователь входит
в д о м е н A c t i v e Directory, м а р к е р п о л ь з о в а т е л я заполняется SID-иденти-
ф и к а т о р о м п р и н ц и п а л а , а т а к ж е з н а ч е н и я м и атрибута sIDHistory учетной
з а п и с и п о л ь з о в а т е л я и г р у п п , к о т о р ы м п р и н а д л е ж и т пользователь. Под-
с и с т е м а а в т о р и з а ц и и L S A S S и с п о л ь з у е т S I D – и д е н т и ф и к а т о р ы из атрибута
sIDHistory а н а л о г и ч н о всем остальным S ID-идентификаторам в маркере для
п о д д е р ж к и д о с т у п а п о л ь з о в а т е л я к ресурсам в начальном домене.
• П р е о б р а з о в а н и е б е з о п а с н о с т и П р о ц е с с а н а л и з а дескриптора безопас-
н о с т и ( S D ) р е с у р с а , в к л ю ч а я его с п и с к и ACL, в котором каждый SID,
с с ы л а ю щ и й с я на у ч е т н у ю з а п и с ь в начальном домене идентифицируется
и з а м е н я е т с я S I D – и д е н т и ф и к а т о р о м в конечном домене. Процесс повтор-
ного с о п о с т а в л е н и я с п и с к о в A C L (и других элементов в дескрипторе бе-
з о п а с н о с т и ) с м и г р и р о в а в ш и м и у ч е т н ы м и з а п и с я м и в конечном домене
т а к ж е н а з ы в а е т с я п о – а н г л и й с к и re-ACLing. Преобразование безопасности
( r e – A C L i n g ) в р у ч н у ю п р е д с т а в л я е т собой утомительный процесс даже в
п р о с т о й среде. Т а к и е и н с т р у м е н т ы миграции, как ADMT, автоматизируют
п р е о б р а з о в а н и е б е з о п а с н о с т и . И н с т р у м е н т A D M T может преобразовать
д е с к р и п т о р ы б е з о п а с н о с т и и п о л и т и к и ресурсов в начальном домене для
с с ы л к и на с о о т в е т с т в у ю щ и е у ч е т н ы е записи в конечном домене. В част-
ности, у т и л и т а A D M T м о ж е т преобразовать:
• р а з р е ш е н и я ф а й л о в и папок;
• р а з р е ш е н и я п р и н т е р о в ;
• р а з р е ш е н и я о б щ е г о доступа;
• р а з р е ш е н и я реестра;
• п р а в а п о л ь з о в а т е л е й ;
• л о к а л ь н ы е п р о ф и л и с и з м е н е н и е м разрешений доступа к файлам, пап-
кам и реестру;
• ч л е н с т в о в г р у п п а х .
В б о л ь ш и н с т в е п р о е к т о в р е с т р у к т у р и з а ц и и и миграции доменов для под-
д е р ж к и доступа и ф у н к ц и о н а л ь н о с т и во время миграции используется атрибут
sIDHistory, а з а т е м в ы п о л н я е т с я преобразование безопасности.
К СВЕДЕНИЮ Миграция доменов
Подробная информация о миграции доменов, SID-идентификаторов и атрибуте
sIDHistory содержится в статье -«Domain Migration Cookbook» по адресу http://techneL
microsoft.com/en-us/library/bb727135.aspx.
Членство в г р у п п а х
Последняя п р о б л е м а д о с т у п а к ресурсам связана с членством в группах. 1ло-
бальные г р у п п ы могут содержать членов л и ш ь из одного домена. Поэтому при
клонировании п о л ь з о в а т е л я в конечный домен новая учетная запись пользова-
теля не м о ж е т б ы т ь ч л е н о м глобальных групп в начальном домене, к которым
принадлежит н а ч а л ь н а я у ч е т н а я запись пользователя.
5 8 0 Домены и леса
Глава 12
Для решения этого вопроса в п р о ц е с с е м и г р а ц и и м е ж д у л е с а м и в н а ч а л е
нужно выполнить миграцию г л о б а л ь н ы х г р у п п в к о н е ч н ы й д о м е н . Э т и гло-
бальные группы будут поддерживать S I D – и д е н т и ф и к а т о р ы н а ч а л ь н ы х г р у п п
в" своих атрибутах sIDHistory, п о д д е р ж и в а я т а к и м о б р а з о м д о с т у п к ресурсам.
Затем выполняется м и г р а ц и я п о л ь з о в а т е л е й . П р и м и г р а ц и и п о л ь з о в а т е л е й
утилита A D M T оценивает ч л е н с т в о н а ч а л ь н о й у ч е т н о й з а п и с и и д о б а в л я е т
новую учетную запись в ту же г р у п п у в к о н е ч н о м д о м е н е . Е с л и г р у п п а еще не
существует в конечном домене, у т и л и т а A D M T м о ж е т с о з д а т ь ее а в т о м а т и -
чески. После миграции учетная запись п о л ь з о в а т е л я в к о н е ч н о м д о м е н е будет
принадлежать глобальным г р у п п а м в к о н е ч н о м д о м е н е . П о л ь з о в а т е л ь и груп-
пы пользователя будут содержать S I D – и д е н т и ф и к а т о р ы н а ч а л ь н ы х у ч е т н ы х
записей в своих атрибутах sIDHistory. П о э т о м у п о л ь з о в а т е л ь с м о ж е т п о л у ч а т ь
доступ к ресурсам в начальном д о м е н е с р а з р е ш е н и я м и д о с т у п а д л я н а ч а л ь н ы х
учетных записей.
В миграции внутри леса процесс в ы п о л н я е т с я по-другому. Глобальная груп-
па создается в конечном домене к а к у н и в е р с а л ь н а я г р у п п а и м о ж е т с о д е р ж а т ь
пользователей из начального и конечного д о м е н о в . Э т а н о в а я г р у п п а п о л у ч а е т
новый SID-идентификатор, о д н а к о ее а т р и б у т sIDHistory з а п о л н я е т с я S I D -
идентификатором глобальной г р у п п ы в н а ч а л ь н о м д о м е н е , в р е з у л ь т а т е чего
поддерживаете оступ к ресурсам д л я н о в о й г р у п п ы . П о с л е м и г р а ц и и всех
пользователей начального домена в к о н е ч н ы й д л я г р у п п ы вновь н а з н а ч а е т с я
глобальная о б л а ч ъ действия вместо у н и в е р с а л ь н о й .
Другие проблемы миграции
В процессе планирования и в ы п о л н е н и я м и г р а ц и и о б ъ е к т о в м е ж д у д о м е н а м и
и лесами требуется решить много вопросов. Все э т и в о п р о с ы п о д р о б н о изложе-
ны в руководстве A D M T на странице з а г р у з к и A D M T , у к а з а н н о й ранее. Д а л е е
описаны самые важные вопросы м и г р а ц и и .
• Миграция паролей И н с т р у м е н т A D M T п о д д е р ж и в а е т м и г р а ц и ю паро-
лей пользователей, однако он не м о ж е т г а р а н т и р о в а т ь с о о т в е т с т в и е э т и х
паролей политикам конечного домена, у к а з ы в а ю щ и м д л и н у и с л о ж н о с т ь
паролей. Непустые пароли будут м и г р и р о в а н ы н е з а в и с и м о от п о л и т и к и
паролей конечного домена, и п о л ь з о в а т е л и смогут в х о д и т ь в д о м е н вплоть
до истечения срока действия этих паролей, п о с л е чего п о т р е б у е т с я создать
новый, уже соответствующий политике, пароль. Таким образом, блокировка
учетных записей во время м и г р а ц и и не о с у щ е с т в л я е т с я . О д н а к о вы може-
те с помощью A D M T о т к о н ф и г у р и р о в а т ь с л о ж н ы е п а р о л и и л и сценарий
начального пароля, а затем п р и н у д и т ь п о л ь з о в а т е л я и з м е н и т ь п а р о л ь п р и
первом входе в домен.
• Учетные записи с л у ж б С л у ж б ы на к о н т р о л л е р а х д о м е н о в могут исполь-
зовать для проверки подлинности у ч е т н ы е з а п и с и п о л ь з о в а т е л е й домена.
При миграции этих учетных з а п и с е й п о л ь з о в а т е л е й в к о н е ч н ы й д о м е н
все службы необходимо обновить с п о м о щ ь ю нового объекта и д е н т и ф и -
кации учетной записи службы. И н с т р у м е н т A D M T а в т о м а т и з и р у е т этот
процесс.
Занятие 2
Управление множеством доменов и доверительными связями
5 8 1
• О б ъ е к т ы , не п о д л е ж а щ и е м и г р а ц и и Некоторые объекты не так просто пе-
ренести. И н с т р у м е н т A D M T не может в ы п о л н я т ь миграцию таких встроен-
н ы х групп, к ак л о к а л ь н а я г р у п п а Администраторы (Administrators) домена.
В р у к о в о д с т в е п о л ь з о в а т е л я описано, к а к обойти это ограничение.
СОВЕТ К ЭКЗАМЕНУ
На сертификационном экзамене 7 0 – 6 4 0 следует помнить, что инструмент ADMT
применяется для копирования и перемещения учетных записей между доменами.
Нужно также понимать, что новая учетная запись в конечном домене получает новый
SID-идентификатор, однако при правильном использовании инструмента ADMT
можно выполнить миграцию членства в группах и заполнить атрибут sIDHistory
идентификаторами SID начальной учетной записи.
Доверительные связи
П р и р е а л и з а ц и и с ц е н а р и я с у ч а с т и е м не менее двух доменов AD DS может
потребоваться р а б о т а т ь с доверительными связями, или довериями. Важно пони-
мать н а з н а ч е н и е , ф у н к ц и о н а л ь н о с т ь и к о н ф и г у р а ц и ю доверительных связей.
Доверительные связи внутри домена
В г л а в е 5 мы о б с у ж д а л и , ч т о п р о и с х о д и т в процессе присоединения к домену
рядового с е р в е р а и л и р а б о ч е й с т а н ц и и . В рабочей группе компьютер поддер-
ж и в а е т х р а н и л и щ е о б ъ е к т о в и д е н т и ф и к а ц и и в базе данных диспетчера безо-
пасности у ч е т н ы х з а п и с е й S A M ( S e c u r i t y Account Manager) и выполняет про-
верку п о л ь з о в а т е л е й на о с н о в е и н ф о р м а ц и и из этого хранилища, обеспечивая
безопасность с и с т е м н ы х р е с у р с о в л и ш ь с помощью объектов идентификации
в базе д а н н ы х S A M . В с л у ч а е п р и с о е д и н е н и я к домену компьютер формирует
д о в е р и т е л ь н у ю с в я з ь с э т и м д о м е н о м . Доверительная связь компьютера позво-
ляет в ы п о л н я т ь п р о в е р к у п о д л и н н о с т и пользователей не с помощью локальной
системы и ее л о к а л ь н о г о х р а н и л и щ а объектов идентификации, а с помощью
служб п р о в е р к и п о д л и н н о с т и и х р а н и л и щ а объектов идентификации домена
A D DS. Ч л е н д о м е н а т а к ж е п о з в о л я е т использовать объекты идентификации
домена д л я обеспечения безопасности системных ресурсов. Например, в локаль-
ную г р у п п у Users д о б а в л я е т с я г р у п п а Пользователи домена (Domain Users),
получая т а к и м о б р а з о м п р а в о л о к а л ь н о г о входа в систему. Кроме того, учетные
записи д о м е н н ы х п о л ь з о в а т е л е й и групп могут добавляться в списки контро-
ля доступа ( A C L ) к ф а й л а м , п а п к а м , к л ю ч а м реестра и принтерам в системе.
Все ч л е н ы д о м е н а р а с п о л а г а ю т с х о д н ы м и доверительными связями с доме-
ном, в результате чего д о м е н становится центральным хранилищем объектов
и д е н т и ф и к а ц и и и п р е д о с т а в л я е т ц е н т р а л и з о в а н н у ю службу, выполняющую
проверку п о д л и н н о с т и .
Доверительные связи между доменами
Концепцию д о в е р и т е л ь н ы х с в я з е й м о ж н о расширить и на другие домены. До-
верительная связь м е ж д у д о м е н а м и позволяет одному домену доверять службе
проверки подлинности и х р а н и л и щ у объектов идентификации в другом домене
I 5 8 2 Домены и леса
Глава 12
и использовать эти объекты и д е н т и ф и к а ц и и д л я о б е с п е ч е н и я б е з о п а с н о с т и
ресурсов. Таким образом, д о в е р и т е л ь н а я с в я з ь я в л я е т с я л о г и ч е с к о й с с ы л к о й ,
устанавливаемой между доменами д л я в ы п о л н е н и я в з а и м н о й п р о в е р к и под-
линности.
В каждой доверительной с в я з и у ч а с т в у ю т д в а д о м е н а : д о в е р я ю щ и й до-
мен и доверенный домен. Д о в е р е н н ы й домен с о д е р ж и т х р а н и л и щ е объектов
идентификации и обеспечивает проверку п о д л и н н о с т и п о л ь з о в а т е л е й в этом
хранилище. Когда пользователь в к а т а л о г е д о в е р е н н о г о д о м е н а в х о д и т и л и
подключается к системе в д о в е р я ю щ е м домене, д о в е р я ю щ и й д о м е н не м о ж е т
проверить его подлинность, поскольку д а н н ы е о н е м о т с у т с т в у ю т в его хра-
нилище. Поэтому доверяющий домен передает з а д а ч у в ы п о л н е н и я п р о в е р к и
подлинности контроллеру в доверенном домене. Т а к и м образом, п е р в ы й домен
доверяет второму домену в ы п о л н и т ь п р о в е р к у п о д л и н н о с т и п о л ь з о в а т е л я .
Доверяющий (первый) домен расширяет доверие на с л у ж б ы п р о в е р к и п о д л и н -
ности и хранилище объектов и д е н т и ф и к а ц и и в д о в е р е н н о м ( в т о р о м ) домене.
Поскольку первый домен доверяет объектам п о д л и н н о с т и во в т о р о м доме-
не, первый (доверяющий) домен может и с п о л ь з о в а т ь э т и д о в е р е н н ы е о б ъ е к т ы
идентификации для предоставления доступа к ресурсам. П о л ь з о в а т е л и в дове-
ренном домене получают такие права, как р а з р е ш е н и е входа на рабочие станции
в доверяющем домене. Пользователи в глобальных группах д ове р е н н ог о домена
могут добавляться в локальные группы д о в е р я ю щ е г о д о м е н а . П о л ь з о в а т е л и и
глобальные группы в доверенном домене могут п о л у ч а т ь р а з р е ш е н и я доступа
к общим папкам путем добавления этих о б ъ е к т о в и д е н т и ф и к а ц и и в с п и с к и
ACL доверяющего домена.
Эта терминология выглядит н е с к о л ь к о з а п у т а н н о й , п о э т о м у к о н ц е п ц и ю
доверительных связей проще понять с п о м о щ ь ю рисунка. На рис. 12-5 показана
простая схема доверительной связи. Домен А д о в е р я е т д о м е н у Б, то есть домен
А является доверяющим, а домен Б – доверенным. Е с л и п о л ь з о в а т е л ь в домене
Б подключается или входит на компьютер в д о м е н е А, то э т о т д о м е н передает
запрос проверки подлинности к о н т р о л л е р у в д о м е н е Б. Д о м е н А т а к ж е может
использовать объекты и д е н т и ф и к а ц и и из д о м е н а Б, н а п р и м е р п о л ь з о в а т е л е й
и группы, чтобы предоставлять доступ к ресурсам в д о м е н е А. П о э т о м у поль-
зователя или группу в домене Б можно д о б а в и т ь в с п и с о к A C L о б щ е й п а п к и
в домене А. Пользователь или группа в д о м е н е Б т а к ж е могут быть д о б а в л е н ы
в локальную группу домена А.
Рис. 12-5. Схема простой доверительной связи
Занятие 2
Управление множеством доменов и доверительными связями
5 8 3
СОВЕТ К ЭКЗАМЕНУ
Доверительные связи являются важной темой сертификационного экзамена 70-640.
Поэтому следует полностью понимать концепцию доверяющего домена, доверенного
домена и доверия. При сдаче экзамена можно рисовать схемы доверительных связей,
чтобы было проще понять, какой домен является доверенным и содержит поль-
зователей и группы, которые использует доверяющий домен, чтобы предоставить
доступ к ресурсам. Связь всегда следует проводить из домена с ресурсами, такими
как компьютеры и общие папки, в домен с пользователями.
Характеристики доверительных отношений
Д о в е р и т е л ь н ы е о т н о ш е н и я м е ж д у д о м е н а м и характеризуются следующими
а т р и б у т а м и д о в е р и я .
• Т р а н з и т и в н о с т ь О д н и д о в е р и т е л ь н ы е с в я з и я в л я ю т с я транзитивными,
д р у г и е – нет. На рис. 12-6 д о м е н А доверяет домену Б, а домен Б доверяет
д о м е н у В. Е с л и э т и д о в е р и я я в л я ю т с я транзитивными, то домен А будет
д о в е р я т ь д о м е н у В. Е с л и же д о в е р и е не является транзитивным то домен А
не будет д о в е р я т ь д о м е н у В. В большинстве случаев можно создать третью
д о в е р и т е л ь н у ю с в я з ь , у к а з ы в а ю щ у ю доверие домена А к домену В. При
и с п о л ь з о в а н и и т р а н з и т и в н о г о доверия третья доверительная связь стано-
в и т с я л и ш н е й , п о с к о л ь к у она подразумевается по умолчанию.
Рис. 12-6. Пример доверительной связи
• Н а п р а в л е н и е Д о в е р и т е л ь н а я с в я з ь может быть односторонней и двух-
с т о р о н н е й . В о д н о с т о р о н н е м д о в е р и и (см. рис. 12-5) пользователи в дове-
р е н н о м д о м е н е п о л у ч а ю т д о с т у п к ресурсам в доверяющем домене, однако
п о л ь з о в а т е л и в д о в е р я ю щ е м домене не могут получить доступ к ресурсам в
д о в е р е н н о м домене. В большинстве случаев для решения этой задачи нужно
создать в т о р у ю о д н о с т о р о н н ю ю связь в обратном направлении – например,
чтобы д о м е н Б д о в е р я л д о м е н у А. Некоторые доверительные связи по своей
сути я в л я ю т с я д в у х с т о р о н н и м и : оба домена доверяют объектам идентифи-
к а ц и и и с л у ж б а м п р о в е р к и п о д л и н н о с т и в другом домене.
• С о з д а н и е а в т о м а т и ч е с к и или в р у ч н у ю Доверительные связи создаются
как автоматически, т а к и вручную.
Внутри леса все д о м е н ы доверяют друг другу. Причина заключается в том,
что корневой д о м е н каждого дерева в лесу доверяет корневому домену леса
5 8 4 Домены и леса
(первому домену, установленному в лесу), н к а ж д ы й д о ч е р н и й д о м е н д о в е р я е т
своем)' родительскому домену. Все связи, с о з д а в а е м ы е а в т о м а т и ч е с к и , у д а л я т ь
нельзя. Они являются транзитивными и д в у х с т о р о н н и м и . К о н е ч н ы й результат
состоит в том, что домен д о в е р я е т х р а н и л и щ а м о б ъ е к т о в и д е н т и ф и к а ц и и и
службам проверки подлинности всех о с т а л ь н ы х д о м е н о в в своем лесу. Поль-
зователей и глобальные группы из лю б о г о д о м е н а л е с а м о ж н о д о б а в л я т ь в ло-
кальные группы домена, предоставлять им права доступа и д о б а в л я т ь в с п и с к и
ACL ресурсов в любом другом д о м е н е леса. Д о в е р и т е л ь н ы е с в я з и с д р у г и м и
лесами и доменами вне своего леса необходимо у с т а н а в л и в а т ь в р у ч н у ю . Д а л е е
мы более подробно рассмотрим д о в е р и т е л ь н ы е с в я з и в н у т р и и в н е леса Active
Directory.
Протоколы проверки подлинности и доверительные связи
Проверка подлинности пользователей Active D i r e c t o r y в W i n d o w s Server 2008
выполняется одним из двух протоколов – K e r b e r o s v5 и л и NT LAN M a n a g e r
(NTLM). Протокол Kerberos v5 по у м о л ч а н и ю и с п о л ь з у е т с я к о м п ь ю т е р а м и
Windows Server 2008, W i n d o w s Vista, W i n d o w s S e r v e r 2003, W i n d o w s ХР и
Windows 2000 Server. Если компьютер, у ч а с т в у ю щ и й в т р а н з а к ц и и п р о в е р к и
подлинности, не поддерживает Kerberos v5, вместо него п р и м е н я е т с я п р о т о к о л
NTLM.
Проверка подлинности Kerberos внутри домена
Когда пользователь входит на клиентский компьютер, и с п о л ь з у ю щ и й протокол
Kerberos v5, на контроллер домена отправляется з а п р о с п р о в е р к и подлинности.
Каждый контроллер домена Active Di r e c t o r y в ы п о л н я е т р о л ь ц е н т р а распреде-
ления ключей KDC (Key Distribution C e n t e r ) , я в л я ю щ е г о с я я д р о м Kerberos.
После подтверждения подлинности п о л ь з о в а т е л я ц е н т р K D C н а к о н т р о л л е р е
домена выдает прошедшему проверку п о л ь з о в а т е л ю т а к н а з ы в а е м ы й б и л е т на
получение билетов T G T (Ticket-Granting T i c k e t ) .
Когда пользователю нужен доступ к р е с у р с а м на к о м п ь ю т е р е в т о м же до– |
мене, то вначале он должен получить п о д л и н н ы й сеансовый билет д л я компью-
тера. Сеансовые билеты выдаются центром K D C к о н т р о л л е р а домена, т а к что
пользователь возвращается к контроллеру домена и делает запрос, представляя
билет T G T в подтверждение того, что он у ж е п р о ш е л п р о в е р к у подлинности.
Поэтому центр K D C отвечает на запрос сеансового б и л е т а без п о в т о р н о й про-
верки подлинности объекта и д е н т и ф и к а ц и и п о л ь з о в а т е л я . П о л ь з о в а т е л ь с к и й
запрос сеансового билета указывает компьютер и службу, к к о т о р о й требуется
доступ. Центр K D C идентифицирует расположение с л у ж б ы в том же домене на
основе имени участника службы S P N (Service Principal N a m e ) запрашиваемого
сервера, а затем выдает пользователю сеансовый б и л е т д л я нее.
После этого пользователь подключается к с л у ж б е и п р е д ъ я в л я е т сеансовый
билет. Сервер определяет его подлинность и прохождение проверки подлиннос-
ти пользователем в домене с помощью частных ключей (на этом з а н я т и и они не
описаны). Поэтому серверу нет надобности в ы п о л н я т ь проверку подлинности
пользователя: ои принимает проверку подлинности и объект и д е н т и ф и к а ц и и
в домене, с которым у компьютера установлена д о в е р и т е л ь н а я связь.
Занятие 2
Управление множеством доменов и доверительными связями
5 8 5
Все эти т р а н з а к ц и и Kerberos у п р а в л я ю т с я клиентами и серверами Windows
в п р о з р а ч н о м р е ж и м е д л я с а м и х п о л ь з о в а т е л е й .
Проверка подлинности Kerberos внутри леса
К а ж д ы й д о ч е р н и й д о м е н в л е с у д о в е р я е т своему родительскому домену с ис-
п о л ь з о в а н и е м а в т о м а т и ч е с к о й д в у х с т о р о н н е й т р а н з и т и в н о й связи, которая
н а з ы в а е т с я связью «родитель – потомок». К о р н е в о й домен каждого дерева
доверяет к о р н е в о м у д о м е н у леса с п р и м е н е н и е м автоматической двухсторонней
т р а н з и т и в н о й с в я з и , к о т о р а я н а з ы в а е т с я связью «дерево – корень».
Э т и д о в е р и т е л ь н ы е с в я з и с о з д а ю т в л е с у т а к называемый путь доверия,
и л и поток доверия. К о н ц е п ц и ю п у т и д о в е р и я п р о щ е понять с помощью схе-
мы, п о к а з а н н о й на р и с . 12-7. Л е с с о с т о и т из двух деревьев tailspintoys.com
и w i n g t i p t o y s . c o m . К о р н е в ы м д о м е н о м леса я в л я е т с я домен tailspintoys.com.
На рис. 12-7 с в е р х у п о к а з а н л е с в п е р с п е к т и в е DNS, внизу – путь доверия,
у к а з ы в а ю щ и й , что к о р н е в о й д о м е н д е р е в а wingtiptoys.com доверяет домену
tailspintoys.com.
Лес в перспективе DNS
Лес в перспективе пути доверия
Рис. 12-7. Лес Active Directory в перспективе DNS и перспективе пути доверия
20 Зак. 3399
I 5 8 6 Домены и леса
Глава 12
Путь доверия используется в п р о в е р к е п о д л и н н о с т и K e r b e r o s д л я предо-
ставления пользователю в одном д о м е н е сеансового б и л е т а д о с т у п а к с л у ж б е
в другом домене. Если пользователю в д о м е н е u s a . w i n g t i p t o y s . c o m требуется
доступ к общей папке на сервере в д о м е н е europe.tailspintoys.com, в ы п о л н я е т с я
следующая транзакция.
1. Пользователь входит на компьютер в домене usa.wingtiptoys.com и проходит
проверку подлинности на контроллере в домене usa.wingtiptoys.com с помощью
процесса проверки подлинности, описанного в п р е д ы д у щ е м разделе. Поль-
зователь получает билет T G T для контроллера в д о м е н е usaiwingtiptoys.com.
Пользователю требуется п о д к л ю ч и т ь с я к о б щ е й п а п к е на сервере в д о м е н е
europe.tailspintoys.com.
2. Пользователь связывается с ц е н т р о м K D C к о н т р о л л е р а в д о м е н е usa.
wingtiptoys.com для запроса сеансового б и л е т а с е р в е р а в д о м е н е europe.
tailspintoys.com.
3. Контроллер в домене usa.wingtiptoys.com на о с н о в е и м е н и у ч а с т н и к а служ-
бы SPN определяет, что требуемая с л у ж б а р а с п о л о ж е н а в д о м е н е europe.
tailspintoys.com, а не в локальном домене.
Центр KDC выполняет роль д о в е р е н н о г о п о с р е д н и к а м е ж д у к л и е н т о м
и службой. Если K D C не может выдать с е а н с о в ы й б и л е т д л я с л у ж б ы по-
тому, что эта служба расположена в д о в е р е н н о м , а не л о к а л ь н о м домене,
центр K D C выдаст клиенту реферрал ( н а п р а в л е н и е ) , с п о м о щ ь ю которого
клиент получит запрашиваемый с е а н с о в ы й билет.
Чтобы определить следующий шаг, центр K D C и с п о л ь з у е т п р о с т о й алго-
ритм. Если домен службы доверяет н е п о с р е д с т в е н н о д о м е н у K D C , центр
KDC выдаст клиенту реферрал на к о н т р о л л е р в д о м е н е с л у ж б ы . Е с л и эти
домены не являются непосредственными у ч а с т н и к а м и д о в е р и я , но м е ж д у
KDC и доменом службы установлено т р а н з и т и в н о е д о в е р и е , ц е н т р K D C
выдаст клиенту реферрал на с л е д у ю щ и й д о м е н в п у т и д о в е р и я .
4. Домены usa.wingtiptoys.com и europe.tailspintoys.com не я в л я ю т с я непос-
редственными участниками доверия, однако м е ж д у н и м и существует тран-
зитивная связь, поэтому центр K D C в д о м е н е u s a . w i n g t i p t o y s . c o m выдает
клиенту реферрал на контроллер в с л е д у ю щ е м д о м е н е w i n g t i p t o y s . c o m на
