Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 58 (всего у книги 91 страниц)
р а з р е ш е н и я д о с т у п а к р е с у р с а м в доверяющем домене на основе атрибута
sIDHistory.
Ч т о б ы о т к л ю ч и т ь к а р а н т и н домена, введите следующую команду:
netdom trust Имя_доверящего_домена /domain :Имя_доверенного_домена /quarantine:no
Ч т о б ы в н о в ь в к л ю ч и т ь к а р а н т и н домена, введите такую команду:
netdom trust Имя_доверяющего_домена /domain :Имя_доверенного_донена /quarantine:yes
СОВЕТ К ЭКЗАМЕНУ
На сертификационном экзамене 70-640 могут использоваться оба термина: карантин
домена и фильтрация SID. Помните, что эта процедура гарантирует, что пользователи
из доверенного домена авторизуются только с помощью SID-идентификаторов из
доверенного домена. Результат карантина домена состоит в том, что доверяющий
домен игнорирует SID-идентификаторы в атрибуте sIDHistory, который, как правило,
содержит SID-идентификаторы учетных записей из домена миграции.
Выборочная проверка подлинности
При создании в н е ш н е г о д о в е р и я и л и доверия между лесами можно контроли-
ровать область п р о в е р к и п о д л и н н о с т и доверенных принципалов безопасности.
Д л я внешней д о в е р и т е л ь н о й с в я з и и л и доверия между лесами можно исполь-
зовать два р е ж и м а п р о в е р к и подлинности:
• в ы б о р о ч н а я п р о в е р к а подлинности;
• п р о в е р к а п о д л и н н о с т и в д о м е н е ( д л я внешнего доверия) или проверка
подлинности в лесу ( д л я д о в е р и я лесов).
Если в ы б р а т ь п р о в е р к у п о д л и н н о с т и в домене или лесу, все доверенные
пользователи смогут проходить проверку подлинности, чтобы получить доступ
к службам на всех к о м п ь ю т е р а х в доверяющем домене. Поэтому доверенные
пользователи могут п о л у ч а т ь р а з р е ш е н и я доступа к ресурсам во всем дове-
р я ю щ е м домене. При И с п о л ь з о в а н и и этого режима проверки подлинности
I 5 9 8 Домены и леса
Глава 12
необходимо довериться п р о ц е д у р а м б е з о п а с н о с т и на п р е д п р и я т и и и адми-
нистраторам, реализующим эти п р о ц е д у р ы . Н а п р и м е р , н у ж н о п о м н и т ь , чтс
пользователи из доверенного домена и л и л е с а в к л ю ч е н ы в г р у п п у П р о ш е д ш и е
проверку (Authenticated Users) доверяющего домена. П о э т о м у ресурсы, доступ
к которым разрешен группе П р о ш е д ш и е проверку, сразу же станут д о с т у п н ы м и
для пользователей доверенного домена в случае в ы б о р а п р о в е р к и п о д л и н н о с т и
в домене или лесу.
Если же применить выборочную п р о в е р к у п о д л и н н о с т и , все п о л ь з о в а т е л и
в доверенном домене будут доверенными о б ъ е к т а м и и д е н т и ф и к а ц и и , однако им
будет разрешено проходить проверку п о д л и н н о с т и т о л ь к о д л я д о с т у п а к служ-
бам на указанных компьютерах. Н а п р и м е р , п р е д с т а в и м , ч т о у вас у с т а н о в л е н а
внешняя доверительная связь с д о м е н о м п а р т н е р с к о й о р г а н и з а ц и и и н у ж н о ,
чтобы только пользователи из группы м а р к е т и н г а в п а р т н е р с к о й о р г а н и з а ц и и
могли получать доступ к общим папкам на одном из в а ш и х ф а й л о в ы х серверов.
Вы можете отконфигурировать д л я д о в е р и я в ы б о р о ч н у ю п р о в е р к у п о д л и н н о с -
ти, а затем предоставить пользователям право п р о в е р к и п о д л и н н о с т и л и ш ь д л я
получения доступа к этому ф а й л о в о м у серверу.
Режим проверки подлинности д л я нового и с х о д я щ е г о д о в е р и я к о н ф и г у -
рируется на странице Уровень п р о в е р к и п о д л и н н о с т и и с х о д я щ е г о д о в е р и я
(Outgoing Trust Authentication Level) мастера с о з д а н и я о т н о ш е н и я д о в е р и я
(New Trust Wizard). Отконфигурируйте уровень п р о в е р к и п о д л и н н о с т и д л я су-
ществующего доверия, в оснастке Active D i r e c t o r y – д о м е н ы и д о в е р и е (Active
Directory Domains And Trusts) о т к р о й т е с в о й с т в а д о в е р я ю щ е г о д о м е и а , выбе-
рите доверие, щелкните кнопку Свойства ( P r o p e r t i e s ) и п е р е й д и т е на в к л а д к у
Проверка подлинности (Authentication), п о к а з а н н у ю на рис. 12-13.
tailspintoys.com Properties
Г?Гх1|
Geneal Authentication I
Select the scope of authentication for u s e s in the taispintoyj.com domain
С Doman-iude authentication
Window» wil automatically authenticate users trom the specified
dcrrtan for el resource: in the local domain. This option к preferred
when both dorrans belong to the same organization.
f* Selective authentication
Window: wS not automatical^» authenticate ш е и liom the specified
domain for any resources n the local domain. After you clove this
dialog. grant individual access to each :ervei that you want to make
available io m e n in the specified domam This option is preferred if the
domaris belong to different aganizatioro.
Apply
РИС. 12-13. Вкладка Проверка ПОДЛИННОСТИ диалогового о к н а с в о й с т в д о в е р и я
[ Занятие 2
Управление множеством доменов и доверительными связями §
5 9 9
П о с л е п р и м е н е н и я В ы б о р о ч н о й п р о в е р к и п о д л и н н о с т и ( S e l e c t i v e
A u t h e n t i c a t i o n ) д л я д о в е р и я д о в е р е н н ы е п о л ь з о в а т е л и н е смогут получить
доступ к ресурсам в д о в е р я ю щ е м домене, д а ж е если имеют разрешения доступа.
П о л ь з о в а т е л я м т а к ж е т р е б у е т с я н а з н а ч и т ь разрешение проверки подлинности
(Allowed То A u t h e n t i c a t e ) в о б ъ е к т е компьютера в домене. Чтобы назначить
это р а з р е ш е н и е , о т к р о й т е оснастку Active Directory – пользователи и компью-
т е р ы ( A c t i v e D i r e c t o r y U s e r s And C o m p u t e r s ) и в меню Вид (View) установите
ф л а ж о к Д о п о л н и т е л ь н ы е к о м п о н е н т ы (Advanced Features). Откройте свойства
компьютера, на к о т о р о м д о в е р е н н ы е пользователи должны проходить проверку
п о д л и н н о с т и ( т о есть к о м п ь ю т е р , на к о т о р ы й входят доверенные пользователи
и л и к о т о р ы й с о д е р ж и т р е с у р с ы д л я д о в е р е н н ы х пользователей). Н а вкладке
Б е з о п а с н о с т ь ( S e c u r i t y ) добавьте д о в е р е н н ы х пользователей или группу с эти-
ми п о л ь з о в а т е л я м и и у с т а н о в и т е ф л а ж о к Р а з р е ш и т ь (Allow) для разрешения
Р а з р е ш е н о п р о в е р и т ь п о д л и н н о с т ь (Allowed То Authenticate), как показано
на рис. 12-14.
JJJSJ
Делегирование j Размещение j Управляется | Объект j
Общие I Операционная система j Член групп [
Безопасность j Входящие зеонки ) Редактор атрибутов |
Группы или пользователи
Администраторы предприятие (СОГЛОЗОЧАдминистраторы г* 3
•SJj Администраторы (СОИТ050ЧАдм»^**страгосы}
•^Операторы печати (СОМТОБОЧЗператоры печати)
Пред-Windows 2000 доступ (CONTO SOVfceд-Wndows 2000 дос j
Щл Группа авторизаши доступа Windows {CONTOSOVTpynna авто
% КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ
^Производственная группе -.СОМТОЗОЧЛроизеодстевнная груп. У
Добавить Удалить
Разрешения для Произеоаственнай группа Разрешить Запретить
Удалить все дочерние объекты
•
•
Отправить как
•
п
Получить как
•
• J
Разрешено проверить подлинность
ш •
Сброс пароля
а
•
Смена пароля
•
• jd
Чяйымлиь особые дотяпю ял* гираметоы. гЫолттаьио I
нажмете Дополнительно" – 1
Пои>«Снм об уттдялеиии дгстлом к pasoeiboragu
OK I Опоена j |
Рис. 12-14. Назначение разрешения проверки подлинности для доверенной группы
К о н т р о л ь н ы й в о п р о с
• Вы отконфнгурировали выборочную проверку подлинности для исходящего
доверия к домену в партнерской организации. Теперь нужно предоставить
группе аудиторов в партнерской организации разрешения доступа к общей
папке на компьютере SERVER32. Какие два разрешения нужно отконфи-
гурировать?
(си. спел, сто.)
I 623 Домены и леса
Глава 12
Ответ на контрольный вопрос
• Аудиторам необходимо назначить разрешение Разрешено проверить под-
линность (Allowed То Authenticate) для объекта компьютера SERVER32. Вы
также должны предоставить аудиторам разрешения'доступа NTFS к общей
папке.
Практические занятия. Администрирование доверия
В приведенных далее упражнениях предлагается создать и обеспечить безопас-
ность, атакже заняться администрированием доверия между доменами contoso.com
и tailspintoys.com. В этом сценарии к о м п а н и я C o n t o s o , L t d ф о р м и р у е т д о в е р и е
к компании Tailspin Toys. Команде разработчиков п р о д у к т а в к о м п а н и и Tailspin
Toys нужен доступ к общей папке в д о м е н е к о м п а н и и C o n t o s o . П р е ж д е чем
приступить к этим упражнениям, н у ж н о в ы п о л н и т ь у п р а ж н е н и я з а н я т и я 1.
У вас должны быть установлены два к о н т р о л л е р а д о м е н а : о д и н в д о м е н е леса
contoso.com, а второй – в домене леса tailspintoys.com.
Упражнение 1. Настройка DNS
Прежде чем создать доверительные о т н о ш е н и я , н у ж н о к о р р е к т н о о т к о н ф и г у -
рировать DNS. Каждый домен д о л ж е н и м е т ь в о з м о ж н о с т ь р а з р е ш а т ь и м е н а
в другом домене. Настройка р а з р е ш е н и я и м е н о п и с а н а в г л а в е 9. С у щ е с т в у е т
несколько способов поддержки р а з р е ш е н и я и м е н м е ж д у д в у м я л е с а м и . В этом
упражнении требуется создать в домене contoso.com з о н у – з а г л у ш к у д л я домена
tailspintoys.com, а т а к ж е сервер у с л о в н о й п е р е с ы л к и в д о м е н е tailspintoys.com
для разрешения имен contoso.com.
1. Войдите на машину S E R V E R 0 1 . c o n t o s o . c o m п о д у ч е т н о й з а п и с ь ю Адми-
нистратор (Administrator).
2. В программной группе Администрирование ( A d m i n i s t r a t i v e Tools) откройте
Диспетчер DNS (DNS Manager).
3. Разверните объект S E R V E R 0 1 и в ы б е р и т е к о н т е й н е р З о н ы п р я м о г о про-
смотра (Forward Lookup Zones).
4. Щелкните правой кнопкой м ы ш и контейнер З о н ы п р я м о г о просмотра и вы-
полните команду Создать новую зону ( N e w Z o n e ) .
Откроется страница приветствия Мастера с о з д а н и я н о в о й з о н ы (Welcome
То The New Zone Wizard).
5. Щелкните Далее (Next). Откроется с т р а н и ц а Т и п з о н ы ( Z o n e Туре).
6. Выберите тип Зона-заглушка ( S t u b Zone) и щ е л к н и т е Д а л е е ( N e x t ) .
Откроется страница Область р е п л и к а ц и и зоны, и н т ё г р и р о в а н н о й в Active
Directory (Active Directory Zone Replication Scope).
7. Щелкните Далее (Next). Откроется с т р а н и ц а И м я з о н ы ( Z o n e Name).
8. Введите имя tailspintoys.com и щелкните Д а л е е (Next). О т к р о е т с я страница
Основные DNS-серверы ( M a s t e r DNS Servers).
9. Введите адрес 10.0.0.111 и нажмите к л а в и ш у Tab.
[ Занятие 2 Управление множеством доменов и доверительными связями § 0 1
10. Установите ф л а ж о к И с п о л ь з о в а т ь э т и серверы д л я создания локального
списка о с н о в н ы х с е р в е р о в ( U s e T h e Above Servers To Create A Local List
Of M a s t e r Servers). Щ е л к н и т е Д а л е е (Next), а затем Готово (Finish).
11. В о й д и т е на к о м п ь ю т е р S E R V E R T S T . t a i l s p i n t o y s . c o m как Администратор
( A d m i n i s t r a t o r ) .
12. В п р о г р а м м н о й г р у п п е А д м и н и с т р и р о в а н и е (Administrative Tools) откройте
Д и с п е т ч е р D N S ( D N S M a n a g e r ) .
13. Р а з в е р н и т е о б ъ е к т S E R V E R T S T .
14. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и п а п к у С е р в е р ы у с л о в н о й пересылки
( C o n d i t i o n a l F o r w a r d e r s ) и в ы п о л н и т е команду Создать условную пере-
с ы л к у ( N e w C o n d i t i o n a l F o r w a r d e r ) .
15. В п о л е D N S – д о м е н ( D N S D o m a i n ) введите имя contoso.com.
16. В ы б е р и т е с т р о к у < Щ е л к н и т е здесь, чтобы добавить IP-адрес или DNS-
и м я > , и в в е д и т е адрес 10.0.0.11.
17. У с т а н о в и т е ф л а ж о к С о х р а н я т ь у с л о в н у ю пересылку в Active Directory
и р е п л и ц и р о в а т ь ее с л е д у ю щ и м образом (Store This Conditional Forwarder
In Active Directory, And Replicate It As Follows).
18. Щ е л к н и т е O K .
Упражнение 2. Создание доверия
С о з д а й т е д о в е р и е , ч т о б ы р а з р е ш и т ь п р о в е р к у подлинности пользователей
Tailspin Toys в д о м е н е C o n t o s o .
1. П о л ь з о в а т е л я м в д о м е н е tailspintoys.com требуется доступ к общей папке
в д о м е н е c o n t o s o . c o m . Ответьте на следующие вопросы.
• К а к о й д о м е н я в л я е т с я доверяющим, а какой – доверенным?
• К а к о й д о м е н с о д е р ж и т исходящее доверие, а какой – входящее?
О т в е т . Д о м е н c o n t o s o . c o m я в л я е т с я доверяющим доменом с исходящим
д о в е р и е м к д о в е р е н н о м у д о м е н у tailspintoys.com с входящим доверием.
2. В о й д и т е на к о м п ь ю т е р S E R V E R 0 1 как администратор домена contoso.com.
3. В п р о г р а м м н о й г р у п п е Администрирование (Administrative Tolls) откройте
оснастку Active D i r e c t o r y – д о м е н ы и доверие (Active Directory Domains
And T r u s t s ) .
4. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и домен contoso.com и выполните команду
Свойства ( P r o p e r t i e s ) .
5. П е р е й д и т е на в к л а д к у Д о в е р и я (Trusts).
6. Щ е л к н и т е к н о п к у Создать доверие (New Trusts). Откроется страница при-
ветствия М а с т е р с о з д а н и я о т н о ш е н и я доверия (Welcome То The New Trust
Wizard).
7. Щ е л к н и т е Д а л е е ( N e x t ) . О т к р о е т с я страница И м я доверия (Trust Name).
8. В поле И м я ( N a m e ) введите и м я tailspintoys.com. Щелкните Далее (Next).
Поскольку вы не конфигурировали DNS на компьютере SERVER01 для пе-
ресылки запросов домена tailspintoys.com уполномоченной службе DNS на
I 6 0 2 Домены и леса
Глава 12
машине SERVERTST.tailspintoys.com, в ы д о л ж н ы п р и м е н я т ь и м я N e t B I O S
домена tailspintoys.com. В п р о и з в о д с т в е н н о й среде на э т о м э т а п е рекомен-
' дуется DNS-имя домена. О т к р о е т с я с т р а н и ц а Т и п д о в е р и я ( T r u s t Туре).
9. Выберите тип Внешнее доверие ( E x t e r n a l T r u s t ) и щ е л к н и т е Д а л е е ( N e x t ) .
Откроется страница Н а п р а в л е н и е д о в е р и я ( D i r e c t i o n of T r u s t ) .
10. Выберите направление Одностороннее: и с х о д я щ е е ( O n e – w a y : O u t g o i n g ) .
Щелкните Далее (Next).
11. Выберите опцию Только для данного д о м е н а ( T h i s D o m a i n O n l y ) . Щ е л к -
ните Далее (Next). Откроется с т р а н и ц а У р о в е н ь п р о в е р к и п о д л и н н о с т и
исходящего доверия ( O u t g o i n g Trust A u t h e n t i c a t i o n Level).
12. Выберите уровень Проверка п о д л и н н о с т и в д о м е н е ( D o m a i n – W i d e A u t h e n -
tication) и щелкните Далее ( N e x t ) . О т к р о е т с я с т р а н и ц а П а р о л ь д о в е р и я
(Trust Password).
13. В полях Пароль доверия (Trust Password) и П о д т в е р ж д е н и е п а р о л я д о в е р и я
(Confirm Trust Password) введите с л о ж н ы й пароль. З а п о м н и т е его, поскольку
он понадобится для настройки входящего д о в е р и я д о м е н а tailspintoys.com.
Щелкните Далее (Next). О т к р о е т с я с т р а н и ц а В ы б о р д о в е р и я з а в е р ш е н
(Trust Selections Complete).
14. Просмотрите параметры и щ е л к н и т е Д а л е е ( N e x t ) . О т к р о е т с я с т р а н и ц а
j Создание доверия завершено ( T r u s t C r e a t i o n C o m p l e t e ) .
J 15. Просмотрите состояние и з м е н е н и й . Щ е л к н и т е Д а л е е ( N e x t ) . О т к р о е т с я
страница Подтверждение исходящего д о в е р и я ( C o n f i r m O u t g o i n g Trust). Не
следует подтверждать доверие, пока не будут с о з д а н ы обе его стороны.
16. Щелкните Далее (Next). Откроется с т р а н и ц а З а в е р ш е н и е мастера создания
отношения доверия (Completing T h e N e w T r u s t W i z a r d ) .
17. Щелкните кнопку Готово (Finish).
Откроется диалоговое окно с н а п о м и н а н и е м о том, ч т о ф и л ь т р а ц и я S I D
включена по умолчанию.
18. Щелкните О К .
19. Щелкните ОК, чтобы закрыть диалоговое окно свойств д о м е н а contoso.com.
Далее вы завершите создание входящего доверия для домена tailspintoys.com.
20. Войдите на компьютер S E R V E R T S T . t a i l s p i n t o y s . c o m к а к а д м и н и с т р а т о р
домена tailspintoys.com.
21. В программной группе Администрирование (Administrative Tools) откройте
оснастку Active Directory – домены и д о в е р и е ( A c t i v e D i r e c t o r y Domains
And Trust).
22. Щелкните правой кнопкой мыши домен tailspintoys.com и выберите Свойс-
тва (Properties).
23. Перейдите на вкладку Доверия (Trusts).
24. Щелкните кнопку Создать доверие (New Trusts). О т к р о е т с я страница при-
ветствия Мастер создания отношения д о в е р и я (Welcome То T h e New Trust
Wizard).
[ Занятие 2
Управление множеством доменов и доверительными связями §
6 0 3
25. Щ е л к н и т е Д а л е е ( N e x t ) . О т к р о е т с я страница И м я доверия (Trust Name).
26. В п о л е И м я ( N a m e ) в в е д и т е contoso и щ е л к н и т е Д а л е е (Next). Откроется
с т р а н и ц а Т и п д о в е р и я ( T r u s t Туре).
27. В ы б е р и т е т и п В н е ш н е е д о в е р и е ( E x t e r n a l T r u s t ) и щелкните Далее (Next).
О т к р о е т с я с т р а н и ц а Н а п р а в л е н и е д о в е р и я (Direction of Trust).
28. Выберите направление Одностороннее: входящее (One-way: Incoming) и щелк-
н и т е Д а л е е ( N e x t ) . О т к р о е т с я с т р а н и ц а Стороны доверия (Sides of Trust).
29. В ы б е р и т е о п ц и ю Т о л ь к о д л я д а н н о г о домена (This Domain Only) и щелк-
н и т е Д а л е е ( N e x t ) . О т к р о е т с я с т р а н и ц а Пароль доверия (Trust Password).
30. В п о л я П а р о л ь д о в е р и я ( T r u s t Password) и Подтверждение пароля доверия
( C o n f i r m T r u s t P a s s w o r d ) в в е д и т е пароль, созданный в шаге 13. Щелкните
Д а л е е ( N e x t ) . О т к р о е т с я с т р а н и ц а Выбор доверия завершен (Trust Selec-
tions C o m p l e t e ) .
31. Щ е л к н и т е Д а л е е ( N e x t ) . О т к р о е т с я страница Создание доверия завершено
( T r u s t C r e a t i o n C o m p l e t e ) .
32. П р о с м о т р и т е с о с т о я н и е и з м е н е н и й . Щ е л к н и т е Далее (Next). Откроется
с т р а н и ц а П о д т в е р ж д е н и е исходящего доверия (Confirm Outgoing Trust).
33. Щ е л к н и т е Д а л е е ( N e x t ) . О т к р о е т с я страница Завершение мастера создания
о т н о ш е н и я д о в е р и я ( C o m p l e t i n g T h e New Trust Wizard).
34. Щ е л к н и т е к н о п к у Готово ( F i n i s h ) .
35. Д л я того ч т о б ы з а к р ы т ь д и а л о г о в о е окно свойств домена tailspintoys.com,
щ е л к н и т е О К .
Упражнение 3. Подтверждение доверия
П р и в ы п о л н е н и и ш а г а 33 п р е д ы д у щ е г о у п р а ж н е н и я вам предоставлялась воз-
м о ж н о с т ь п о д т в е р д и т ь д о в е р и е . Вы т а к ж е можете подтвердить существующее
доверие. В этом у п р а ж н е н и и необходимо подтвердить доверие между доменами
contoso.com и tailspintoys.com.
1. В о й д и т е на к о м п ь ю т е р SERVER01.contoso.com как администратор домена
contoso.com.
2. В п р о г р а м м н о й г р у п п е Администрирование (Administrative Tolls) откройте
оснастку Active D i r e c t o r y – д о м е н ы и доверие (Active Directory Domains
And Trusts).
3. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и домен contoso.com и выполните команду
Свойства ( P r o p e r t i e s ) .
4. П е р е й д и т е на в к л а д к у Д о в е р и я (Trusts).
5. Выберите tailspintoys.com и щ е л к н и т е кнопку Свойства (Properties).
6. Щ е л к н и т е к н о п к у П р о в е р к а (Validate). Появится сообщение о том, что
доверие проверено, работоспособно и активно.
7. Щ е л к н и т е О К .
8. Д в а ж д ы щ е л к н и т е О К , чтобы закрыть диалоговые окна свойств.
I 627 Домены и леса
Глава 12
Упражнение 4. Предоставление доступа доверенным пользователям
Теперь нужно предоставить доступ к о б щ е й п а п к е в д о м е н е C o n t o s o д л я про-
изводственной команды из домена Tailspin Toys.
1. Создайте следующие объекты:
• глобальную группу Команда п р о д у к т а в д о м е н е tailspintoys.com;
• глобальную группу Р а з р а б о т ч и к и п р о д у к т а в д о м е н е contoso.com;
• локальную группу A C L _ P r o d u c t _ A c c e s s в д о м е н е c o n t o s o . c o m .
2. Создайте папку Проект на д и с к е С к о м п ь ю т е р а S E R V E R 0 1 .
3. Предоставьте группе ACL_Product_Access р а з р е ш е н и е И з м е н е н и я ( M o d i f y )
для папки Проект.
4. Откройте оснастку Active Directory – п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active
Directory Users And C o m p u t e r s ) д л я д о м е н а c o n t o s o . c o m .
5. Откройте свойства группы A C L _ P r o d u c t _ A c c e s s .
6. Перейдите на вкладку Ч л е н ы г р у п п ы ( M e m b e r s ) .
7. Щелкните кнопку Добавить ( A d d ) .
8. Введите Разработчики продукта и щ е л к н и т е О К .
9. Щелкните кнопку Добавить ( A d d ) .
10. Введите имя Т А Ш 5 Р Ш Т О У 8 П р о и з в о д с т в е н н а я к о м а н д а и щ е л к н и т е О К .
Откроется окно Безопасность W i n d o w s ( W i n d o w s S e c u r i t y ) . П о с к о л ь к у
это доверие одностороннее, ваша у ч е т н а я з а п и с ь . а д м и н и с т р а т о р а д о м е н а
contoso.com не имеет разрешения на чтение каталога д о м е н а tailspintoys.com.
Для чтения каталога tailspintoys.com требуется у ч е т н а я з а п и с ь в этом доме-
не. Если доверие является д в у х с т о р о н н и м , д а н н о е с о о б щ е н и е не п о я в и т с я .
11. В поле Имя пользователя (User N a m e ) в в е д и т е TAILCPINTOYSAdMUHucm-
ратор.
12. В поле Пароль (Password) введите п а р о л ь у ч е т н о й з а п и с и А д м и н и с т р а т о р
(Administrator) в домене tailspintoys.com.
13. Щелкните О К .
Отметим, что две глобальные г р у п п ы из д в у х д о м е н о в т е п е р ь я в л я ю т с я
членами локальной группы в д о м е н е contoso.com, к о т о р а я и м е е т д о с т у п
к общей папке.
Упражнение 5. Реализация выборочной проверки подлинности
В этом упражнении требуется ограничить в о з м о ж н о с т ь п о л ь з о в а т е л е й из доме-
на tailspintoys.com проходить проверку п о д л и н н о с т и иа к о м п ь ю т е р а х в домене
contoso.com.
1. На компьютере SERVER01.contoso.com о т к р о й т е о с н а с т к у Active Direc-
tory – домены и доверие (Active Directory D o m a i n s And Trusts).
2. Щелкните правой кнопкой м ы ш и домен contoso.com и в ы п о л н и т е команду
Свойства (Properties).
3. Перейдите на вкладку Доверия (Trusts).
4. Выберите домен tailspintoys.com и щ е л к н и т е к н о п к у Свойства (Properties).
[ Занятие 2
Управление множеством доменов и доверительными связями §
6 0 5
5. П е р е й д и т е на в к л а д к у П р о в е р к а п о д л и н н о с т и (Authentication).
6. Щ е л к н и т е о п ц и ю В ы б о р о ч н а я проверка подлинности (Selective Authentica-
t i o n ) и д в а ж д ы щ е л к н и т е О К .
В р е ж и м е в ы б о р о ч н о й п р о в е р к и подлинности пользователи из доверенного
домена не смогут п р о х о д и т ь п р о в е р к у подлинности на компьютерах в дове-
р я ю щ е м домене, д а ж е если и м е ю т разрешение доступа к папке. Доверенные
пользователи д о л ж н ы иметь разрешение Разрешено проверить подлинность
(Allow То A u t h e n t i c a t e ) д л я самого компьютера.
7. О т к р о й т е о с н а с т к у A c t i v e D i r e c t o r y – пользователи и компьютеры (Active
D i r e c t o r y U s e r s A n d C o m p u t e r s ) д л я домена contoso.com.
8. Щ е л к н и т е м е н ю В и д ( V i e w ) и у с т а н о в и т е ф л а ж о к Дополнительные ком-
п о н е н т ы ( A d v a n c e d F e a t u r e s ) .
9. В д е р е в е к о н с о л и в ы б е р и т е п о д р а з д е л е н и е Domain Controllers.
10. Н а п а н е л и с в е д е н и й щ е л к н и т е п р а в о й к н о п к о й мыши контроллер SER-
V E R 0 1 и в ы п о л н и т е к о м а н д у С в о й с т в а (Properties).
11. П е р е й д и т е на в к л а д к у Б е з о п а с н о с т ь (Security).
12. Щ е л к н и т е к н о п к у Д о б а в и т ь ( A d d ) .
13. Введите и м я TAILSPINTOYSKoM.anda продукта и щелкните ОК. Откроется
д и а л о г о в о е о к н о Б е з о п а с н о с т ь W i n d o w s (Windows Security). Поскольку
это д о в е р и е о д н о с т о р о н н е е , в а ш а учетная запись администратора домена
contoso.com не и м е е т р а з р е ш е н и я на чтение каталога домена tailspintoys.
com. Д л я ч т е н и я к а т а л о г а tailspintoys.com требуется учетная запись в этом
домене. Е с л и д о в е р и е двухстороннее, данное сообщение не появится.
14. В поле И м я пользователя ( U s e r N a m e ) введите TAILSPINTOYSAdMUHUcmpamop.
15. В п о л е П а р о л ь ( P a s s w o r d ) в в е д и т е пароль учетной записи Администратор
( A d m i n i s t r a t o r ) д о м е н а tailspintoys.com.
16. Щ е л к н и т е О К .
17. В с п и с к е р а з р е ш е н и й д л я к о м а н д ы продукта установите флажок Разре-
ш и т ь ( A l l o w ) д л я р а з р е ш е н и я Разрешено проверить подлинность (Allow
То A u t h e n t i c a t e ) и щ е л к н и т е О К .
Теперь к о м а н д а п р о д у к т а из д о м е н а tailspintoys.com может проходить про-
верку п о д л и н н о с т и на к о м п ь ю т е р е S E R V E R 0 1 и получит разрешение до-
ступа к о б щ е й п а п к е через ч л е н с т в о в группе ACL_Product_Access. Эти
пользователи не могут проходить проверку подлинности на других компью-
терах домена contoso.com, д а ж е если группе назначены разрешения доступа
к п а п к а м на э т и х компьютерах. Кроме того, другие пользователи из доме-
на tailspintoys.com не смогут получать доступ к ресурсам на компьютере
S E R V E R 0 1 . c o n t o s o . c o m .
Резюме
• Л е с Active Directory рекомендуется проектировать из одного домена. Одна-
ко в н е к о т о р ы х с л у ч а я х по причинам требований, в частности, связанных
с репликацией контекста именования доменов, может понадобиться создать
в лесу множество доменов.
I 6 0 6 Домены и леса
Глава 12
• Средство м и г р а ц и и Active D i r e c t o r y ( A c t i v e D i r e c t o r y M i g r a t i o n Tool,
A D M T ) используется д л я м и г р а ц и и о б ъ е к т о в м е ж д у д о м е н а м и в н у т р и
леса и между лесами. П р и п е р е м е щ е н и и в д р у г о й д о м е н у ч е т н а я з а п и с ь
получает новый S I D – и д е н т и ф и к а т о р . И д е н т и ф и к а т о р S I D и с х о д н о й учет-
ной записи можно добавить в а т р и б у т sIDHistory к о н е ч н о й у ч е т н о й записи,
чтобы новая учетная запись п о л у ч и л а д о с т у п к р е с у р с а м с р а з р е ш е н и я м и ,
назначенными для SID п р е д ы д у щ е й у ч е т н о й з а п и с и . С р е д с т в о A D M T п р и
выполнении миграции также п о д д е р ж и в а е т ч л е н с т в о в г р у п п а х .
• Доверительные связи позволяют п о л ь з о в а т е л я м в д о в е р е н н о м д о м е н е про-
ходить проверку подлинности на компьютерах, о т н о с я щ и х с я к д о в е р я ю щ е -
му домену и добавлять их в л о к а л ь н ы е г р у п п ы в д о м е н е и л и п р е д о с т а в л я т ь
доступ к ресурсам в доверяющем домене.
• Внутри леса между каждым д о ч е р н и м и р о д и т е л ь с к и м д о м е н а м и , а т а к ж е
между каждым корневым доменом д е р е в а и к о р н е в ы м д о м е н о м леса уста-
навливаются двухсторонние т р а н з и т и в н ы е д о в е р и т е л ь н ы е о т н о ш е н и я . Д л я
того чтобы улучшить проверку п о д л и н н о с т и в н у т р и леса, м о ж н о создавать
прямые доверительные связи.
• Доверительные отношения м о ж н о у с т а н а в л и в а т ь с в н е ш н и м и д о м е н а м и ,
лесами и сферами Kerberos v5. Э т и д о в е р и т е л ь н ы е о т н о ш е н и я могут быть
односторонними и двухсторонними. Д о в е р и т е л ь н ы е о т н о ш е н и я Kerberos v5
могут быть транзитивными и н е т р а н з и т и в н ы м и . Д о в е р и т е л ь н ы е о т н о ш е н и я
леса всегда являются т р а н з и т и в н ы м и , а в н е ш н и е д о в е р и т е л ь н ы е о т н о ш е -
ния – нетранзитивными.
• Выборочная проверка п о д л и н н о с т и п о з в о л я е т у п р а в л я т ь д о в е р е н н ы м и
пользователями и группами, к о т о р ы м р а з р е ш е н о п р о х о д и т ь п р о в е р к у под-
линности на компьютерах в д о в е р я ю щ е м домене.
• Карантин домена, который т а к ж е н а з ы в а е т с я ф и л ь т р а ц и е й S I D , по умолча-
нию включен для всех внешних д о в е р и т е л ь н ы х с в я з е й и о т н о ш е н и й м е ж д у
лесами. Он запрещает д о в е р е н н ы м п о л ь з о в а т е л я м п р е д с т а в л я т ь в с в о и х
данных авторизации S I D – и д е н т и ф и к а т о р ы из д р у г и х д о м е н о в , к р о м е ос-
новного домена учетной записи.
Закрепление материала
Приведенные далее вопросы предназначены д л я п р о в е р к и з н а н и й , п о л у ч е н н ы х
на занятии 2 (эти вопросы содержатся и на с о п р о в о д и т е л ь н о м компакт-диске).
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями, почему тот или иной вариант является
правильным или неправильным, вы найдете в разделе «Ответы» в конце книги.
1. Являясь администратором в компании W i n g t i p Toys, к о т о р а я недавно при-
обрела компанию Tailspin Toys, вы планируете реструктурировать леса двух
компаний и переместить все объекты в домен wingtiptoys.com. А пока нужно
разрешить пользователям в доменах wingtiptoys.com и europe.wingtiptoys.
com входить на все компьютеры в домене tailspintoys.com. Какое доверие
[ Занятие 2 Управление множеством доменов и доверительными связями § 6 0 7
необходимо о т к о н ф и г у р и р о в а т ь в домене wingtiptoys.com? (Укажите все ва-
р и а н т ы . К а ж д ы й п р а в и л ь н ы й ответ я в л я е т с я частью полного решения.)
A. В х о д я щ е е .
Б. И с х о д я щ е е .
B. О д н о с т о р о н н е е .
Г. Д в у х с т о р о н н е е .
Д . С ф е р а .
Е. П р я м о е .
Ж . Л е с .
3 . В н е ш н е е .
2. В к о м п а н и и W i n g t i p Toys, к о т о р а я недавно приобрела компанию Tailspin
