Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 57 (всего у книги 91 страниц)
пути доверия.
5. Клиент связывается с центром K D C в д о м е н е р е ф е р р а л а wingtiptoys.com.
6. Опять-таки, центр K D C определяет, что з а п р а ш и в а е м а я с л у ж б а расположе-
на не в локальном домене, а д о м е н ы europe.tailspintoys.com и wingtiptoys.
com не являются непосредственными участниками доверия. П о э т о м у центр
KDC возвращает реферрал на контроллер в с л е д у ю щ е м д о м е н е tailspintoys.
com на пути доверия.
7. Клиент связывается с центром K D C в д о м е н е р е ф е р р а л а tailspintoys.com.
8. Центр KDC определяет, что з а п р а ш и в а е м а я служба р а с п о л о ж е н а не в ло-
кальном домене, а домены europe.tailspintoys.com и tailspintoys.com явля-
ются непосредственными участниками доверия. П о э т о м у он возвращает
реферрал на контроллер в домене europe.tailspintoys.com.
Занятие 2
Управление множеством доменов и доверительными связями
5 8 7
9. К л и е н т с в я з ы в а е т с я с центром K D C в домене реферрала europe.tailspintoys.
com.
10. Ц е н т р K D C в д о м е н е europe.tailspintoys.com возвращает клиенту сеансовый
б и л е т д о с т у п а к с л у ж б е .
11. К л и е н т с в я з ы в а е т с я с с е р в е р о м и п р е д ъ я в л я е т сеансовый билет. Сервер
п р е д о с т а в л я е т д о с т у п к о б щ е й п а п к е на основе разрешений, назначенных
п о л ь з о в а т е л ю и г р у п п а м , к к о т о р ы м он принадлежит.
Э т о т п р о ц е с с м о ж е т п о к а з а т ь с я довольно сложным, однако он управляется
в р е ж и м е , п о л н о с т ь ю п р о з р а ч н о м д л я пользователя.
Е с л и п о л ь з о в а т е л ь и з д о м е н а usa.wingtiptoys.com входит н а компьютер
в д о м е н е europe.tailspintoys.com, в ы п о л н я е т с я обратный процесс. Начальный
з а п р о с п р о в е р к и п о д л и н н о с т и п о л ь з о в а т е л я д о л ж е н пройти путь доверия до
ц е н т р а K D C в д о м е н е usa.wingtiptoys.com.
Х о т я д л я с д а ч и с е р т и ф и к а ц и о н н о г о экзамена 7 0 – 6 4 0 не нужно быть спе-
ц и а л и с т о м в о б л а с т и п р о в е р к и п о д л и н н о с т и Kerberos между доменами в лесу,
эти з н а н и я п о м о г у т о п р е д е л я т ь путь доверия в лесу при проверке подлинности
м е ж д у д о м е н а м и .
Доверительные связи, создаваемые вручную
В р у ч н у ю с о з д а ю т с я т а к и е д о в е р и т е л ь н ы е связи:
• п р я м ы е д о в е р и т е л ь н ы е о т н о ш е н и я ;
• в н е ш н и е д о в е р и т е л ь н ы е о т н о ш е н и я ;
• д о в е р и т е л ь н ы е с в я з и с ф е р ы ;
• д о в е р и т е л ь н ы е с в я з и леса.
Все о н и о п и с а н ы в с л е д у ю щ и х подразделах.
Создание доверительных связей вручную
С в я з и с о з д а ю т с я п р и м е р н о о д и н а к о в ы м способом; при этом необходимо быть
ч л е н о м г р у п п ы А д м и н и с т р а т о р ы домена (Domain Admins) или Администра-
торы п р е д п р и я т и я ( E n t e r p r i s e Admins).
1. О т к р о й т е о с н а с т к у Active D i r e c t o r y – домены и доверие (Active Directory
D o m a i n s And T r u s t s ) .
2. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и домен, который будет участником в до-
в е р и т е л ь н о й с в я з и , и в ы п о л н и т е команду Свойства (Properties).
Оснастку Active D i r e c t o r y – домены и доверие следует запустить от имени
учетной з а п и с и с р а з р е ш е н и е м на создание доверия в этом домене.
3. П е р е й д и т е на в к л а д к у Д о в е р и я (Trusts).
4. Щ е л к н и т е к н о п к у Создать доверие (New Trust).
Мастер с о з д а н и я о т н о ш е н и я д о в е р и я (New Trust Wizard) поможет создать
д о в е р и т е л ь н у ю связь.
5. На странице И м я д о в е р и я ( T r u s t N a m e ) введите DNS-имя другого домена
в д о в е р и т е л ь н о й с в я з и и щ е л к н и т е Д а л е е (Next).
I 588 Домены и леса
Глава 12
6. Если указанный домен расположен в другом лесу, потребуется выбрать
один из следующих типов доверия:
• отношения доверия с лесом (Forest);
• внешнее доверие (External);
• отношение доверия со сферой (Realm).
Если домен находится в том же лесу, мастер создает п р я м о е доверие.
7. Если вы создаете доверие сферы, потребуется указать тип доверия: тран-
зитивное или нетранзитивное.
8. На странице Направление д о в е р и я ( D i r e c t i o n Of T r u s t ) , показанной на
рис. 12-8, выберите один из следующих типов.
• Двухстороннее доверие ( T w o – W a y ) м е ж д у д о м е н а м и .
• Входящее одностороннее д о в е р и е ( O n e – W a y : I n c o m i n g ) В устанав-
ливаемом доверии домен, в ы б р а н н ы й на шаге 2, становится доверен-
ным доменом, а домен, у к а з а н н ы й на шаге 5, я в л я е т с я доверяющим
доменом.
• Исходящее одностороннее д о в е р и е ( O n e – W a y : O u t g o i n g ) В этом
одностороннем доверии домен, в ы б р а н н ы й иа шаге 2, становится дове-
ряющим доменом, а домен, указанный на шаге 5, становится доверенным
доменом.
Направпоме доверия
Можно создавать ошосторонние или двусторонние доверия
i t
Укажите направлен отношения доверия
Дв>*сторогнее
Пользователи в этом всмене могут проходить проверку подлинности в
>каза»*«>м деменв. лесе или сфере. а пользователи указанного домена,
леса или сферы – в этом домене
С Одностороннее входящее
Погъзовзтели этого домена, леса ипл сферы могут проходить проверку
ПОДПЛ1НОС1И в указанном домене
С Одностороннее: исходящее
Погъзователи ука»пного домена, леса игм сферы могут проходить
проверку подгшности в этом домене
Рис. 12-8. Страница выбора направления доверия
9. Щелкните Далее (Next).
10. На странице Стороны отношения доверия (Sides Of Trust), показанной на
рис. 12-9, выберите одну из следующих опций.
• Для данного и указанного доменов ( B o t h This Domain And The Speci-
fied Domain) Устанавливаются обе стороны доверия. Для исполь-
зования этого параметра требуется разрешение на создание доверия
в обоих доменах.
Занятие 2
Управление множеством доменов и доверительными связями
589
ш Только д л я данного домена (This Domain Only) Создается доверие
в домене, выбранном на шаге 2. Администратор с разрешением на со-
здание доверия в другом домене должен повторить этот процесс для
завершения доверительной связи.
Стороны отношения д о в е р и я
т
Если у вас имеются соответствующие разрешения в обоих доменах, вы
можете создать обе стороны отношения доверия
Для использования доверия необходимо создать обе стороны отношен в
доверия. Например, если создается одностороннее еу-одядее доверие в
локальном домене, необходимо текла создать одностороннее исксдяшее
доверие в указанном домене до начала трефика проверки подлинности через
доверие
Создал» отношение доверия для;
. (* Только для данного домена
Создание отношения доверия в локальном домене.
С Для данного и указанного дсменов
Создание отношения доверия в локальном дсмене и в указанном домене
Необходимо иметь право нэ создание отношения доверия в >кззамном
долине
< Назад | Далее > J Отмена j
Рис. 12-9. Создание сторон доверия
Следующие шаги зависят от выбора параметров (шаги 8 и 10).
• Если вы в ы б р а л и доверие Только для данного домена (This Domain
Only), введите пароль доверия. Пароль доверия вводится администра-
торами на каждой стороне для установления доверия. Этот пароль дол-
жен быть уникальным и использоваться только для создания доверия.
Пароль, примененный для создания доверия, немедленно изменяется
доменами.
11. В случае создания исходящего доверия потребуется указать один из сле-
дующих параметров.
• Выборочная проверка подлинности (Selective Authentication).
• Проверка подлинности в домене (Domain-Wide Authentication) или
Проверка подлинности в лесу (Forest-Wide Authentication) в зависи-
мости от создания внешнего доверия или доверия леса.
Параметры проверки подлинности описаны в подразделе «Безопасность
доверительных отношений» далее в этой главе.
12. Мастер создания нового доверия перечислит выбранные параметры на
странице Выбор доверия завершен (Trust Selections Complete). Щелкните
Далее (Next). Мастер создаст новое доверие.
13. Когда откроется страница Создание доверия завершено (Trust Creation
Complete), просмотрите параметры и щелкните Далее (Next).
Вам будет предоставлена возможность подтвердить доверие. Эту опцию
можно использовать при создании обеих сторон доверия или завершении
второй стороны доверия.
I 5 9 0 Домены и леса
Глава 12
Если в шаге 8 выбрать параметр Д л я д а н н о г о и у к а з а н н о г о д о м е н о в ( B o t h
This Domain And T h e Specified D o m a i n ) , п р о ц е с с б у д е т з а в е р ш е н . Е с л и ж е
на шаге 8 выбрать параметр Только д л я д а н н о г о д о м е н а ( T h i s D o m a i n O n l y ) ,
доверительная связь не будет готова, пока а д м и н и с т р а т о р в д р у г о м д о м е н е не
завершит этот процесс.
• Если установленная д о в е р и т е л ь н а я с в я з ь я в л я е т с я о д н о с т о р о н н и м исхо-
дящим доверием, администратор в д р у г о м д о м е н е д о л ж е н создать односто-
роннее входящее доверие.
• Если установленная д о в е р и т е л ь н а я с в я з ь я в л я е т с я о д н о с т о р о н н и м входя-
щим доверием, администратор в д р у г о м д о м е н е д о л ж е н создать односто-
роннее исходящее доверие.
• Если установленная доверительная с в я з ь я в л я е т с я д в у х с т о р о н н и м довери-
ем, администратор в другом домене д о л ж е н создать д в у х с т о р о н н е е доверие.
К СВЕДЕНИЮ Процедуры создания доверия
Детальное описание процедур для создания каждого типа доверия можно найти
по адресу http://technet2.microsoft.com/WindowsServer/en/library/f82e82/c-0700-4278-
a166-4b8ab47b36dbl033.mspx.
Прямое доверие
В предыдущем подразделе мы в ы п о л н и л и 11 ш а г о в д л я в ы д а ч и сеансового
билета клиенту с целью п о л у ч е н и я д о с т у п а к р е с у р с а м в е щ е о д н о м д о м е н е
леса. В ходе этого процесса в ы д а ю т с я р е ф е р р а л ы на д о м е н ы на п у т и д о в е р и я
между доменом пользователя и д о м е н о м о б щ е й п а п к и . К о г д а п о л ь з о в а т е л ь
из одного домена входит на компьютер в еще о д н о м д о м е н е , з а п р о с п р о в е р к и
подлинности также должен пройти путь доверия. Это м о ж е т п о в л и я т ь на произ-
водительность, а если в домене на пути д о в е р и я недоступен к о н т р о л л е р домена,
то клиент не пройдет проверку п о д л и н н о с т и и не п о л у ч и т д о с т у п к ресурсам.
Эти проблемы решаются с помощью п р я м о г о д о в е р и я , когда создается пря-
мая доверенная связь между дочерними доменами на пути д о в е р и я (рис. 12-10).
asia.tailspintoys.com europe.tailspintoys.com
usa.wingtiptoys.com
Рис. 12-10. Прямые доверия
Занятие 2
Управление множеством доменов и доверительными связями
5 9 1
П р я м ы е д о в е р и я о п т и м и з и р у ю т п р о в е р к у подлинности и выполнения за-
просов с е а н с о в ы х б и л е т о в м е ж д у д о м е н а м и в лесу из множества доменов. При
и с к л ю ч е н и и п у т и д о в е р и я б о л ь ш е н е н у ж н о п р о х о д и т ь весь путь доверия,
благодаря чему з н а ч и т е л ь н о п о в ы ш а е т с я производительность запросов сеан-
совых б и л е т о в .
П р я м ы е д о в е р и т е л ь н ы е с в я з и могут быть одно– и двухсторонними. В лю-
бом с л у ч а е д о в е р и е я в л я е т с я т р а н з и т и в н ы м . На рис. 12-10 благодаря одно-
с т о р о н н е м у п р я м о м у д о в е р и ю д о м е н wingtiptoys.com доверяет домену asia.
t a i l s p i n t o y s . c o m . К о г д а п о л ь з о в а т е л ь и з д о м е н а asia.tailspintoys.com входит
на к о м п ь ю т е р в д о м е н е w i n g t i p t o y s . c o m и л и з а п р а ш и в а е т ресурс в домене
wingtiptoys.com, з а п р о с п е р е с ы л а е т с я на контроллер в доверенном домене asia.
tailspintoys.com. О д н а к о о б р а т н ы й процесс невозможен. Если пользователь в
домене w i n g t i p t o y s . c o m в х о д и т на компьютер в домене asia.tailspintoys.com,
запрос п р о в е р к и п о д л и н н о с т и п р о й д е т путь доверия от домена wingtiptoys.
com до д о м е н а t a i l s p i n t o y s . c o m .
М е ж д у д о м е н а м и u s a . w i n g t i p t o y s . c o m и europe.tailspintoys.com существует
д в у х с т о р о н н я я п р я м а я с в я з ь . П о л ь з о в а т е л и в обоих доменах могут проходить
проверку п о д л и н н о с т и и з а п р а ш и в а т ь ресурсы на компьютерах в другом домене
с и с п о л ь з о в а н и е м п р я м о г о п у т и д о в е р и я .
Внешние доверительные связи
Д л я работы с д о м е н о м , р а с п о л о ж е н н ы м в другом лесу, между доменом в вашем
лесу и д о м е н о м W i n d o w s в е щ е одном лесу устанавливается внешняя связь
(рис. 12-11).
Лес Лее
tailspintoys.com woridwideimporters.com
Рис. 12-11. Внешнее доверие к домену в еще одном лесу
I 5 9 2 Домены и леса
Глава 12
На рис. 12-11 показана односторонняя д о в е р и т е л ь н а я связь между доменами
sales.worldwideimporters.com и europe.tailspintoys.com. Д о м е н E u r o p e д о в е р я е т
домену Sales, так что пользователи в домене Sales могут входить на компьютеры
в домене Europe или подключаться к р е с у р с а м в д о м е н е E u r o p e .
На этом же рисунке п р о д е м о н с т р и р о в а н о д в у х с т о р о н н е е д о в е р и е м е ж д у
доменами worldwideimporters.com и asia.tailspintoys.com. П о л ь з о в а т е л и в каж-
дом домене могут получать доступ к р е с у р с а м в д р у г о м домене. Т е х н и ч е с к и
все внешние доверительные о т н о ш е н и я я в л я ю т с я н е т р а н з и т и в н ы м и и одно-
сторонними. При создании двухстороннего в н е ш н е г о д о в е р и я иа с а м о м д е л е
создаются две внешние односторонние с в я з и в к а ж д о м н а п р а в л е н и и .
При создании исходящей внешней с в я з и в Active D i r e c t o r y создается внеш-
ний объект для каждого п р и н ц и п а л а б е з о п а с н о с т и в д о в е р е н н о м домене. Э т и
пользователи, группы и компьютеры затем м о ж н о д о б а в л я т ь в л о к а л ь н ы е груп-
пы доменов или списки ACL в д о в е р я ю щ е м домене.
Чтобы повысить уровень безопасности в н е ш н е й д о в е р и т е л ь н о й с в я з и , сле-
дует выбрать параметр Выборочная п р о в е р к а п о д л и н н о с т и ( S e l e c t i v e A u t h e n -
tication) на странице Уровень п р о в е р к и п о д л и н н о с т и и с х о д я щ е г о д о в е р и я
(Outgoing Trust Authentication Level) м а с т е р а с о з д а н и я д о в е р и я ( N e w T r u s t
Wizard). Кроме того, по у м о л ч а н и ю во всех в н е ш н и х д о в е р и т е л ь н ы х с в я з я х
включен доменный карантин, который т а к ж е н а з ы в а е т с я ф и л ь т р а ц и е й S I D . Эти
типы конфигурации описываются в п о д р а з д е л е « Б е з о п а с н о с т ь д о в е р и т е л ь н ы х
отношений» далее в этой главе.
Доверие сферы
Для выполнения м е ж п л а т ф о р м е н н ы х о п е р а ц и й с о с л у ж б а м и б е з о п а с н о с т и
на основе других решений р е а л и з а ц и и Kerberos v5 р е к о м е н д у е т с я у с т а н о в и т ь
доверие сферы между доменом и с ф е р о й Kerberos v5 в U N I X . Д о в е р и т е л ь н ы е
отношения сферы являются односторонними, о д н а к о д л я с о з д а н и я двухсторон-
ней связи можно установить одностороннее д о в е р и е в к а ж д о м н а п р а в л е н и и . По
умолчанию доверительные о т н о ш е н и я с ф е р ы я в л я е т с я н е т р а и з и т и в н ы м и .
Если сфера Kerberos v5 не на п л а т ф о р м е W i n d o w s д о в е р я е т в а ш е м у доме-
ну, она доверяет всем принципалам б е з о п а с н о с т и в домене. Е с л и ваш д о м е н
доверяет сфере Kerberos v5 не на п л а т ф о р м е W i n d o w s , п о л ь з о в а т е л я м в сфере
будет предоставлен доступ к ресурсам в домене, о д н а к о этот процесс в ы п о л -
няется не напрямую. Когда пользователи п р о х о д я т п р о в е р к у п о д л и н н о с т и в
сфере Kerberos не на платформе Windows, б и л е т ы K e r b e r o s с о д е р ж а т не все
данные авторизации, необходимые в Windows. П о э т о м у и с п о л ь з у е т с я систе-
ма сопоставления учетных записей. П р и н ц и п а л ы безопасности, создаваемые
в домене Windows, сопоставляются с в н е ш н и м о б ъ е к т о м и д е н т и ф и к а ц и и Ker-
beros в доверенной сфере Kerberos не на п л а т ф о р м е W i n d o w s . Д о м е н W i n d o w s
задействует только эти учетные записи прокси д л я о ц е н к и доступа к объектам
домена с дескрипторами безопасности. Все у ч е т н ы е з а п и с и п р о к с и в W i n d o w s
можно использовать в группах и списках ACL д л я у п р а в л е н и я д о с т у п о м от
имени принципала безопасности не на п л а т ф о р м е W i n d o w s . Д л я у п р а в л е н и я
сопоставлением учетных записей п р и м е н я е т с я оснастка Active D i r e c t o r y —
пользователи и компьютеры (Active Directory Users And C o m p u t e r s ) .
Занятие 2
Управление множеством доменов и доверительными связями
5 9 3
Доверительные отношения между лесами
П р и н е о б х о д и м о с т и в с о в м е с т н о м сотрудничестве между двумя отдельными
о р г а н и з а ц и я м и с о т д е л ь н ы м и л е с а м и м о ж н о реализовать доверительные от-
н о ш е н и я леса. Д о в е р и е л е с о в м о ж е т б ы т ь односторонним и двухсторонним
и представляет т р а н з и т и в н у ю д о в е р и т е л ь н у ю связь между корневыми домена-
ми двух лесов. На рис. 12-12 п о к а з а н пример доверия между лесами tailspintoys.
com и w o r l d w i d e i m p o r t e r s . c o m .
О д н а д о в е р и т е л ь н а я с в я з ь п о з в о л я е т в ы п о л н я т ь проверку подлинности
п о л ь з о в а т е л я в л ю б о м д о м е н е л ю б ы м д р у г и м д о м е н о м в обоих лесах, если
доверие д в у х с т о р о н н е е . Е с л и д о в е р и е леса – одностороннее, любой пользова-
тель в л ю б о м д о м е н е д о в е р е н н о г о леса с м о ж е т пройти проверку подлинности
на к о м п ь ю т е р а х в д о в е р я ю щ е м лесу. Д о в е р и т е л ь н ы е отношения лесов значи-
тельно п р о щ е у с т а н о в и т ь , п о д д е р ж и в а т ь и администрировать, чем отдельные
д о в е р и т е л ь н ы е с в я з и м е ж д у в с е м и д о м е н а м и в обоих лесах. В частности, до-
в е р и т е л ь н ы е с в я з и л е с о в у д о б н о и с п о л ь з о в а т ь в сценариях сотрудничества
м е ж д у о р г а н и з а ц и я м и , с л и я н и я и п р и о б р е т е н и я компаний, а также внутри
одной о р г а н и з а ц и и с н е с к о л ь к и м и л е с а м и с целью изоляции данных и служб
Active Directory.
Лес
Лес
tailspintoys.com
worldwideiniporters.com
Рис. 12-12. Доверие между лесами
При у с т а н о в л е н и и доверительной связи леса по умолчанию включается до-
менный к а р а н т и н ( т а к н а з ы в а е м а я фильтрация SID). Доменный карантин опи-
сан в подразделе «Безопасность доверительных отношений» далее в этой главе.
Для леса м о ж н о установить одностороннее входящее или исходящее либо двух-
стороннее доверие. Как мы у ж е говорили, доверие леса является транзитивным,
то есть все домены В д о в е р я ю щ е м лесу доверяют всем доменам в доверенном
I 5 9 4 Домены и леса
Глава 12
лесу. Однако сами доверительные с в я з и лесов не я в л я ю т с я т р а н з и т и в н ы м и .
Например, если лес tailspintoys.com доверяет лесу worldwideimporters.com, а лес
worldwideimporters.com – лесу n o r t h w i n d t r a d e r s . c o m , э т и д в е д о в е р и т е л ь н ы е
связи ие позволяют лесу tailspintoys.com д о в е р я т ь л е с у n o r t h w i n d t r a d e r s . c o m .
Чтобы эти леса доверяли друг другу, н е о б х о д и м о создать д о в е р и е к о н к р е т н о
между ними.
Для реализации доверия лес д о л ж е н р а б о т а т ь в р е ж и м е не н и ж е W i n d o w s
Server 2003. Кроме того, д л я п о д д е р ж к и д о в е р и я л е с о в н е о б х о д и м а о с о б а я
инфраструктура DNS.
К СВЕДЕНИЮ Требования DNS к доверию лесов
Более подробную информацию о требованиях DNS к доверию лесов можно найти
по адресу http://technet2.microsoft.com/WindowsServer/en/libraiy/f5c70774-25cd-4481-
8b7a-3d65c86e69M1033.mspx.
Администрирование доверительных отношений
Если вы подозреваете, что д о в е р и т е л ь н а я с в я з ь не ф у н к ц и о н и р у е т , п р о в е р ь т е
доверие между любыми двумя д о м е н а м и W i n d o w s ( с л е д у е т учесть, что прове-
рить доверие к сфере Kerberos v5 вы не с м о ж е т е ) . Ч т о б ы п р о в е р и т ь д о в е р и -
тельную связь, выполните такие д е й с т в и я .
1. Откройте оснастку Active D i r e c t o r y – д о м е н ы и д о в е р и е ( A c t i v e D i r e c t o r y
Domains And Trusts).
2. В дереве консоли щ е л к н и т е п р а в о й к н о п к о й м ы ш и д о м е н , с о д е р ж а щ и й
доверие, которое вы хотите п р о в е р и т ь , и в ы п о л н и т е к о м а н д у С в о й с т в а
(Properties).
3. Перейдите на вкладку Д о в е р и я ( T r u s t s ) .
4. Выберите доверие для проверки.
5. Щелкните кнопку Свойства ( P r o p e r t i e s ) .
6. Щелкните кнопку Проверка (Validate).
7. Выполните одну из следующих операций, а з а т е м щ е л к н и т е Да (Yes).
• Выберите опцию Да, проверить это в х о д я щ е е д о в е р и е (Yes, Validate T h e
Incoming Trust). Введите у ч е т н ы е д а н н ы е ч л е н о в г р у п п ы А д м и н и с т -
раторы домена ( D o m a i n A d m i n s ) и л и А д м и н и с т р а т о р ы п р е д п р и я т и я
(Enterprise Admins) во втором домене.
• Выберите опцию Нет, не проверять это в х о д я щ е е д о в е р и е (No, Do Not
Validate The Incoming Trust). Эту п р о ц е д у р у р е к о м е н д у е т с я повторить
во втором домене.
Вы также можете проверить доверие в к о м а н д н о й с т р о к е с п о м о щ ь ю
следующей команды:
netdom trust Имя_доверяющего_домена /domain •.Иня_доверяемого_домена /verify
Иногда созданные тесты необходимо у д а л я т ь вручную. Д е л а е т с я это сле-
дующим образом.
1. Откройте оснастку Active Directory – д о м е н ы и доверие (Active Directory
Domains And Trusts).
Занятие 2
Управление множеством доменов и доверительными связями
5 9 5
2. В дереве к о н с о л и щ е л к н и т е правой кнопкой м ы ш и домен, содержащий дове-
рие, которое вы хотите проверить, и выполните команду Свойства (Properties).
3 . П е р е й д и т е н а в к л а д к у Д о в е р и я ( T r u s t s ) .
4. В ы б е р и т е д о в е р и е , к о т о р о е вы хотите удалить.
5 . Щ е л к н и т е к н о п к у У д а л и т ь ( R e m o v e ) .
6. В ы п о л н и т е о д н о из с л е д у ю щ и х д е й с т в и й и щ е л к н и т е кнопку Да (Yes).
• В ы б е р и т е о п ц и ю Д а , у д а л и т ь о т н о ш е н и е доверия только в локальном
и д р у г о м д о м е и а х (Yes, R e m o v e T h e Trust From Both The Local Domain
And T h e O t h e r D o m a i n ) . В в е д и т е учетные данные членов группы Адми-
н и с т р а т о р ы д о м е н а ( D o m a i n Admins) или Администраторы предприятия
( E n t e r p r i s e A d m i n s ) в о в т о р о м домене.
• В ы б е р и т е о п ц и ю Нет, у д а л и т ь отношение доверия только в локальном
д о м е н е ( N o , R e m o v e T h e T r u s t F r o m T h e Local Domain Only). Эту про-
ц е д у р у р е к о м е н д у е т с я п о в т о р и т ь во втором домене.
7. Д л я у д а л е н и я в р у ч н у ю созданного д о в е р и я с помощью командной строки
в ы п о л н и т е к о м а н д у Netdom.exe со с л е д у ю щ и м синтаксисом:
netdom t r u s t Имя_доверяющего_домена /domain:
[ / f o r c e ] /UserO: Пользователь /PasswordO:»
П а р а м е т р UserD п р е д с т а в л я е т п о л ь з о в а т е л я с учетными данными в группе
А д м и н и с т р а т о р ы д о м е н а ( D o m a i n Admins) или Администраторы предприятия
( E n t e r p r i s e A d m i n s ) д о в е р е н н о г о домена. Параметр PasswordD:* указывает ко-
манде Netdom.exe о т к р ы т ь окно ввода пароля этой учетной записи. При удале-
н и и д о в е р и я с ф е р ы н е о б х о д и м о использовать переключатель /force.
ПРИМЕЧАНИЕ Инструменты командной строки для управления
и тестирования доверительных отношений
Для управления и тестирования доверительных отношений используется диспет-
чер доменов Windows (Windows Domain Manager), утилита Netdom.exe и другие
средства командной строки. Дополнительная информация содержится по адре-
су http://technet2.microsoft.com/mndowsserver/en/library/108124dd-31b1-4c2c-9421-
6adbc1ebceca1033.mspx?mfr=true.
– Безопасность доверительных отношений
i П р и н а с т р о й к е д о в е р и я ва ше го домена к другому домену пользователи в до-
веренном д о м е н е п о л у ч а ю т в о з м о ж н о с т ь получить доступ к ресурсам вашего
домена. В с л е д у ю щ и х разделах о п и с а н ы компоненты, связанные с безопаснос-
тыо ресурсов д о в е р я ю щ е г о домена.
П р о ш е д ш и е п р о в е р к у п о л ь з о в а т е л и
Сама по себе д о в е р и т е л ь н а я связь не предоставляет доступ к ресурсам. Тем
' не менее есть вероятность, что после создания доверия пользователи в дове-
ренном домене сразу же п о л у ч а т доступ ко многим ресурсам вашего домена.
Причина в том, что безопасность многих ресурсов обеспечивается с помощью
списков ACL, которые предоставляют разрешения группе Прошедшие проверку
[ (Authenticated Users).
I 59 6 Домены и леса
Глава 12
Членство в локальных группах д о м е н о в
Как мы говорили в главе 4, д л я у п р а в л е н и я д о с т у п о м к р е с у р с у р е к о м е н д у е т с я
назначать разрешения л о к а л ь н о й г р у п п е домена. З а т е м в л о к а л ь н у ю г р у п п у
домена можно вложить п о л ь з о в а т е л е й и г р у п п ы из в а ш е г о д о м е н а , предоста-
вив им доступ к ресурсу. В л о к а л ь н ы е г р у п п ы б е з о п а с н о с т и в д о м е н е т а к ж е
можно включать пользователей и г л о б а л ь н ы е г р у п п ы из д о в е р е н н ы х доменов.
Поэтому самый у п р а в л я е м ы й способ н а з н а ч е н и я р а з р е ш е н и й д о с т у п а пользо-
вателям в доверенном домене состоит в д о б а в л е н и и э т и х п о л ь з о в а т е л е й и л и
их глобальных групп в л о к а л ь н у ю г р у п п у ва ш е го д о м е н а .
Списки контроля доступа
Пользователей и глобальные г р у п п ы из д о в е р е н н о г о д о м е н а м о ж н о непосредс-
твенно добавлять в списки ACL ресурсов д о в е р я ю щ е г о д о м е н а . Этот способ не
настолько управляем, как п р е д ы д у щ и й – с п р и м е н е н и е м л о к а л ь н о й г р у п п ы
домена, однако его также м о ж н о и с п о л ь з о в а т ь .
Транзитивность
По умолчанию создаваемое д о в е р и е с ф е р ы не я в л я е т с я т р а н з и т и в н ы м . Е с л и
сделать его транзитивным, п о л ь з о в а т е л и из д о м е н о в и с ф е р , д о в е р е н н ы х д л я
сферы Kerberos v5, получат п о т е н ц и а л ь н у ю в о з м о ж н о с т ь д о с т у п а к р е с у р с а м
в вашем домене. Рекомендуется п р и м е н я т ь н е т р а н з и т и в н ы е д о в е р и т е л ь н ы е
отношения, если т р а н з и т и в н о с т ь д о в е р и я с ф е р ы не в к л ю ч е н а в т р е б о в а н и я
бизнеса.
Доменный карантин
По умолчанию доменный карантин, т а к ж е н а з ы в а е м ы й ф и л ь т р а ц и е й S I D , вклю-
чен для всех внешних д о в е р и т е л ь н ы х с в я з е й и д о в е р и т е л ь н ы х о т н о ш е н и й
между лесами. Проходя п р о в е р к у п о д л и н н о с т и в д о в е р е н н о м д о м е н е , поль-
зователь предъявляет д а н н ы е а в т о р и з а ц и и с S I D – и д е н т и ф и к а т о р о м учетной
записи пользователя в группах, к к о т о р ы м он п р и н а д л е ж и т . К р о м е того, данные
авторизации пользователя содержат и д е н т и ф и к а т о р ы б е з о п а с н о с т и из других
атрибутов пользователя и его групп.
Некоторые SID-идентификаторы, п р е д о с т а в л я е м ы е п о л ь з о в а т е л е м из дове-
ренного домена, могут быть созданы не в д о в е р е н н о м домене. Н а п р и м е р , если
пользователь мигрировал из одного д о м е н а в другой, м и г р и р о в а в ш е й учетной
записи присваивается новый S I D – и д е н т и ф и к а т о р . П о э т о м у м и г р и р о в а в ш а я
учетная запись потеряет доступ ко всем ресурсам, к о т о р ы й б ы л н а з н а ч е н SID-
идентификатору старой учетной записи пользователя. Ч т о б ы сохранить доступ
к таким ресурсам, администратор, в ы п о л н я ю щ и й миграцию, м о ж е т в к л ю ч и т ь в
атрибут sIDHistory мигрировавшей учетной з а п и с и п о л ь з о в а т е л я SID-иденти-
фикатор старой учетной записи. Когда пользователь п о п ы т а е т с я подключиться
к ресурсу, для доступа будет авторизован исходный S I D – и д е н т и ф и к а т о р в атри-
буте sIDHistory.
В сценарии с доверенным доменом з л о н а м е р е н н ы й а д м и н и с т р а т о р может
использовать административные привилегии в доверенном домене для загрузки |
в атрибут sIDHistory пользователя S I D – и д е и т и ф и к а т о р о в привилегированных 1
Занятие 2 Управление множеством доменов и доверительными связями 5 9 7
учетных з а п и с е й в домене. П о с л е этого пользователь получит несоответству-
ю щ и е у р о в н и д о с т у п а к р е с у р с а м в домене.
К а р а н т и н д о м е н а р е ш а е т эту проблему, п о з в о л я я доверяющему домену
фильтровать S I D – и д е н т и ф и к а т о р ы из доверенного домена, которые не явля-
ются о с н о в н ы м и S I D – и д е н т и ф и к а т о р а м и п р и н ц и п а л о в безопасности. Каждый
S I D – и д е н т и ф и к а т о р с о д е р ж и т S I D домена, так что когда пользователь из дове-
ренного д о м е н а п р е д с т а в л я е т список SID-идентификаторов пользователя и его
групп, в процессе ф и л ь т р а ц и и S I D домен сбрасывает все SID-идентификаторы
без S I D д о в е р е н н о г о д о м е н а .
К а р а н т и н д о м е н а по у м о л ч а н и ю в к л ю ч е н д л я всех исходящих доверитель-
н ы х с в я з е й с в н е ш н и м и д о м е н а м и и л е с а м и . Его следует отключать только
в с л е д у ю щ и х с л у ч а я х .
• Д л я а д м и н и с т р а т о р о в в д о в е р е н н о м домене необходим крайне высокий
уровень к о н ф и д е н ц и а л ь н о с т и .
• П о л ь з о в а т е л и и л и г р у п п ы м и г р и р о в а л и в доверенный домен со своими
ж у р н а л а м и S I D , и э т и м п о л ь з о в а т е л я м и группам нужно предоставить
