355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Dan Holme » Настройка Active Directory. Windows Server 2008 » Текст книги (страница 58)
Настройка Active Directory. Windows Server 2008
  • Текст добавлен: 8 октября 2016, 16:34

Текст книги "Настройка Active Directory. Windows Server 2008"


Автор книги: Dan Holme


Соавторы: Danielle Ruest,Nelson Ruest

Жанр:

   

ОС и Сети


сообщить о нарушении

Текущая страница: 58 (всего у книги 91 страниц)

р а з р е ш е н и я д о с т у п а к р е с у р с а м в доверяющем домене на основе атрибута

sIDHistory.

Ч т о б ы о т к л ю ч и т ь к а р а н т и н домена, введите следующую команду:

netdom trust Имя_доверящего_домена /domain :Имя_доверенного_домена /quarantine:no

Ч т о б ы в н о в ь в к л ю ч и т ь к а р а н т и н домена, введите такую команду:

netdom trust Имя_доверяющего_домена /domain :Имя_доверенного_донена /quarantine:yes

СОВЕТ К ЭКЗАМЕНУ

На сертификационном экзамене 70-640 могут использоваться оба термина: карантин

домена и фильтрация SID. Помните, что эта процедура гарантирует, что пользователи

из доверенного домена авторизуются только с помощью SID-идентификаторов из

доверенного домена. Результат карантина домена состоит в том, что доверяющий

домен игнорирует SID-идентификаторы в атрибуте sIDHistory, который, как правило,

содержит SID-идентификаторы учетных записей из домена миграции.

Выборочная проверка подлинности

При создании в н е ш н е г о д о в е р и я и л и доверия между лесами можно контроли-

ровать область п р о в е р к и п о д л и н н о с т и доверенных принципалов безопасности.

Д л я внешней д о в е р и т е л ь н о й с в я з и и л и доверия между лесами можно исполь-

зовать два р е ж и м а п р о в е р к и подлинности:

• в ы б о р о ч н а я п р о в е р к а подлинности;

• п р о в е р к а п о д л и н н о с т и в д о м е н е ( д л я внешнего доверия) или проверка

подлинности в лесу ( д л я д о в е р и я лесов).

Если в ы б р а т ь п р о в е р к у п о д л и н н о с т и в домене или лесу, все доверенные

пользователи смогут проходить проверку подлинности, чтобы получить доступ

к службам на всех к о м п ь ю т е р а х в доверяющем домене. Поэтому доверенные

пользователи могут п о л у ч а т ь р а з р е ш е н и я доступа к ресурсам во всем дове-

р я ю щ е м домене. При И с п о л ь з о в а н и и этого режима проверки подлинности

I 5 9 8 Домены и леса

Глава 12

необходимо довериться п р о ц е д у р а м б е з о п а с н о с т и на п р е д п р и я т и и и адми-

нистраторам, реализующим эти п р о ц е д у р ы . Н а п р и м е р , н у ж н о п о м н и т ь , чтс

пользователи из доверенного домена и л и л е с а в к л ю ч е н ы в г р у п п у П р о ш е д ш и е

проверку (Authenticated Users) доверяющего домена. П о э т о м у ресурсы, доступ

к которым разрешен группе П р о ш е д ш и е проверку, сразу же станут д о с т у п н ы м и

для пользователей доверенного домена в случае в ы б о р а п р о в е р к и п о д л и н н о с т и

в домене или лесу.

Если же применить выборочную п р о в е р к у п о д л и н н о с т и , все п о л ь з о в а т е л и

в доверенном домене будут доверенными о б ъ е к т а м и и д е н т и ф и к а ц и и , однако им

будет разрешено проходить проверку п о д л и н н о с т и т о л ь к о д л я д о с т у п а к служ-

бам на указанных компьютерах. Н а п р и м е р , п р е д с т а в и м , ч т о у вас у с т а н о в л е н а

внешняя доверительная связь с д о м е н о м п а р т н е р с к о й о р г а н и з а ц и и и н у ж н о ,

чтобы только пользователи из группы м а р к е т и н г а в п а р т н е р с к о й о р г а н и з а ц и и

могли получать доступ к общим папкам на одном из в а ш и х ф а й л о в ы х серверов.

Вы можете отконфигурировать д л я д о в е р и я в ы б о р о ч н у ю п р о в е р к у п о д л и н н о с -

ти, а затем предоставить пользователям право п р о в е р к и п о д л и н н о с т и л и ш ь д л я

получения доступа к этому ф а й л о в о м у серверу.

Режим проверки подлинности д л я нового и с х о д я щ е г о д о в е р и я к о н ф и г у -

рируется на странице Уровень п р о в е р к и п о д л и н н о с т и и с х о д я щ е г о д о в е р и я

(Outgoing Trust Authentication Level) мастера с о з д а н и я о т н о ш е н и я д о в е р и я

(New Trust Wizard). Отконфигурируйте уровень п р о в е р к и п о д л и н н о с т и д л я су-

ществующего доверия, в оснастке Active D i r e c t o r y – д о м е н ы и д о в е р и е (Active

Directory Domains And Trusts) о т к р о й т е с в о й с т в а д о в е р я ю щ е г о д о м е и а , выбе-

рите доверие, щелкните кнопку Свойства ( P r o p e r t i e s ) и п е р е й д и т е на в к л а д к у

Проверка подлинности (Authentication), п о к а з а н н у ю на рис. 12-13.

tailspintoys.com Properties

Г?Гх1|

Geneal Authentication I

Select the scope of authentication for u s e s in the taispintoyj.com domain

С Doman-iude authentication

Window» wil automatically authenticate users trom the specified

dcrrtan for el resource: in the local domain. This option к preferred

when both dorrans belong to the same organization.

f* Selective authentication

Window: wS not automatical^» authenticate ш е и liom the specified

domain for any resources n the local domain. After you clove this

dialog. grant individual access to each :ervei that you want to make

available io m e n in the specified domam This option is preferred if the

domaris belong to different aganizatioro.

Apply

РИС. 12-13. Вкладка Проверка ПОДЛИННОСТИ диалогового о к н а с в о й с т в д о в е р и я

[ Занятие 2

Управление множеством доменов и доверительными связями §

5 9 9

П о с л е п р и м е н е н и я В ы б о р о ч н о й п р о в е р к и п о д л и н н о с т и ( S e l e c t i v e

A u t h e n t i c a t i o n ) д л я д о в е р и я д о в е р е н н ы е п о л ь з о в а т е л и н е смогут получить

доступ к ресурсам в д о в е р я ю щ е м домене, д а ж е если имеют разрешения доступа.

П о л ь з о в а т е л я м т а к ж е т р е б у е т с я н а з н а ч и т ь разрешение проверки подлинности

(Allowed То A u t h e n t i c a t e ) в о б ъ е к т е компьютера в домене. Чтобы назначить

это р а з р е ш е н и е , о т к р о й т е оснастку Active Directory – пользователи и компью-

т е р ы ( A c t i v e D i r e c t o r y U s e r s And C o m p u t e r s ) и в меню Вид (View) установите

ф л а ж о к Д о п о л н и т е л ь н ы е к о м п о н е н т ы (Advanced Features). Откройте свойства

компьютера, на к о т о р о м д о в е р е н н ы е пользователи должны проходить проверку

п о д л и н н о с т и ( т о есть к о м п ь ю т е р , на к о т о р ы й входят доверенные пользователи

и л и к о т о р ы й с о д е р ж и т р е с у р с ы д л я д о в е р е н н ы х пользователей). Н а вкладке

Б е з о п а с н о с т ь ( S e c u r i t y ) добавьте д о в е р е н н ы х пользователей или группу с эти-

ми п о л ь з о в а т е л я м и и у с т а н о в и т е ф л а ж о к Р а з р е ш и т ь (Allow) для разрешения

Р а з р е ш е н о п р о в е р и т ь п о д л и н н о с т ь (Allowed То Authenticate), как показано

на рис. 12-14.

JJJSJ

Делегирование j Размещение j Управляется | Объект j

Общие I Операционная система j Член групп [

Безопасность j Входящие зеонки ) Редактор атрибутов |

Группы или пользователи

Администраторы предприятие (СОГЛОЗОЧАдминистраторы г* 3

•SJj Администраторы (СОИТ050ЧАдм»^**страгосы}

•^Операторы печати (СОМТОБОЧЗператоры печати)

Пред-Windows 2000 доступ (CONTO SOVfceд-Wndows 2000 дос j

Щл Группа авторизаши доступа Windows {CONTOSOVTpynna авто

% КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ

^Производственная группе -.СОМТОЗОЧЛроизеодстевнная груп. У

Добавить Удалить

Разрешения для Произеоаственнай группа Разрешить Запретить

Удалить все дочерние объекты

Отправить как

п

Получить как

J

Разрешено проверить подлинность

ш

Сброс пароля

а

Смена пароля

• jd

Чяйымлиь особые дотяпю ял* гираметоы. гЫолттаьио I

нажмете Дополнительно" – 1

Пои>«Снм об уттдялеиии дгстлом к pasoeiboragu

OK I Опоена j |

Рис. 12-14. Назначение разрешения проверки подлинности для доверенной группы

К о н т р о л ь н ы й в о п р о с

• Вы отконфнгурировали выборочную проверку подлинности для исходящего

доверия к домену в партнерской организации. Теперь нужно предоставить

группе аудиторов в партнерской организации разрешения доступа к общей

папке на компьютере SERVER32. Какие два разрешения нужно отконфи-

гурировать?

(си. спел, сто.)

I 623 Домены и леса

Глава 12

Ответ на контрольный вопрос

• Аудиторам необходимо назначить разрешение Разрешено проверить под-

линность (Allowed То Authenticate) для объекта компьютера SERVER32. Вы

также должны предоставить аудиторам разрешения'доступа NTFS к общей

папке.

Практические занятия. Администрирование доверия

В приведенных далее упражнениях предлагается создать и обеспечить безопас-

ность, атакже заняться администрированием доверия между доменами contoso.com

и tailspintoys.com. В этом сценарии к о м п а н и я C o n t o s o , L t d ф о р м и р у е т д о в е р и е

к компании Tailspin Toys. Команде разработчиков п р о д у к т а в к о м п а н и и Tailspin

Toys нужен доступ к общей папке в д о м е н е к о м п а н и и C o n t o s o . П р е ж д е чем

приступить к этим упражнениям, н у ж н о в ы п о л н и т ь у п р а ж н е н и я з а н я т и я 1.

У вас должны быть установлены два к о н т р о л л е р а д о м е н а : о д и н в д о м е н е леса

contoso.com, а второй – в домене леса tailspintoys.com.

Упражнение 1. Настройка DNS

Прежде чем создать доверительные о т н о ш е н и я , н у ж н о к о р р е к т н о о т к о н ф и г у -

рировать DNS. Каждый домен д о л ж е н и м е т ь в о з м о ж н о с т ь р а з р е ш а т ь и м е н а

в другом домене. Настройка р а з р е ш е н и я и м е н о п и с а н а в г л а в е 9. С у щ е с т в у е т

несколько способов поддержки р а з р е ш е н и я и м е н м е ж д у д в у м я л е с а м и . В этом

упражнении требуется создать в домене contoso.com з о н у – з а г л у ш к у д л я домена

tailspintoys.com, а т а к ж е сервер у с л о в н о й п е р е с ы л к и в д о м е н е tailspintoys.com

для разрешения имен contoso.com.

1. Войдите на машину S E R V E R 0 1 . c o n t o s o . c o m п о д у ч е т н о й з а п и с ь ю Адми-

нистратор (Administrator).

2. В программной группе Администрирование ( A d m i n i s t r a t i v e Tools) откройте

Диспетчер DNS (DNS Manager).

3. Разверните объект S E R V E R 0 1 и в ы б е р и т е к о н т е й н е р З о н ы п р я м о г о про-

смотра (Forward Lookup Zones).

4. Щелкните правой кнопкой м ы ш и контейнер З о н ы п р я м о г о просмотра и вы-

полните команду Создать новую зону ( N e w Z o n e ) .

Откроется страница приветствия Мастера с о з д а н и я н о в о й з о н ы (Welcome

То The New Zone Wizard).

5. Щелкните Далее (Next). Откроется с т р а н и ц а Т и п з о н ы ( Z o n e Туре).

6. Выберите тип Зона-заглушка ( S t u b Zone) и щ е л к н и т е Д а л е е ( N e x t ) .

Откроется страница Область р е п л и к а ц и и зоны, и н т ё г р и р о в а н н о й в Active

Directory (Active Directory Zone Replication Scope).

7. Щелкните Далее (Next). Откроется с т р а н и ц а И м я з о н ы ( Z o n e Name).

8. Введите имя tailspintoys.com и щелкните Д а л е е (Next). О т к р о е т с я страница

Основные DNS-серверы ( M a s t e r DNS Servers).

9. Введите адрес 10.0.0.111 и нажмите к л а в и ш у Tab.

[ Занятие 2 Управление множеством доменов и доверительными связями § 0 1

10. Установите ф л а ж о к И с п о л ь з о в а т ь э т и серверы д л я создания локального

списка о с н о в н ы х с е р в е р о в ( U s e T h e Above Servers To Create A Local List

Of M a s t e r Servers). Щ е л к н и т е Д а л е е (Next), а затем Готово (Finish).

11. В о й д и т е на к о м п ь ю т е р S E R V E R T S T . t a i l s p i n t o y s . c o m как Администратор

( A d m i n i s t r a t o r ) .

12. В п р о г р а м м н о й г р у п п е А д м и н и с т р и р о в а н и е (Administrative Tools) откройте

Д и с п е т ч е р D N S ( D N S M a n a g e r ) .

13. Р а з в е р н и т е о б ъ е к т S E R V E R T S T .

14. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и п а п к у С е р в е р ы у с л о в н о й пересылки

( C o n d i t i o n a l F o r w a r d e r s ) и в ы п о л н и т е команду Создать условную пере-

с ы л к у ( N e w C o n d i t i o n a l F o r w a r d e r ) .

15. В п о л е D N S – д о м е н ( D N S D o m a i n ) введите имя contoso.com.

16. В ы б е р и т е с т р о к у < Щ е л к н и т е здесь, чтобы добавить IP-адрес или DNS-

и м я > , и в в е д и т е адрес 10.0.0.11.

17. У с т а н о в и т е ф л а ж о к С о х р а н я т ь у с л о в н у ю пересылку в Active Directory

и р е п л и ц и р о в а т ь ее с л е д у ю щ и м образом (Store This Conditional Forwarder

In Active Directory, And Replicate It As Follows).

18. Щ е л к н и т е O K .

Упражнение 2. Создание доверия

С о з д а й т е д о в е р и е , ч т о б ы р а з р е ш и т ь п р о в е р к у подлинности пользователей

Tailspin Toys в д о м е н е C o n t o s o .

1. П о л ь з о в а т е л я м в д о м е н е tailspintoys.com требуется доступ к общей папке

в д о м е н е c o n t o s o . c o m . Ответьте на следующие вопросы.

• К а к о й д о м е н я в л я е т с я доверяющим, а какой – доверенным?

• К а к о й д о м е н с о д е р ж и т исходящее доверие, а какой – входящее?

О т в е т . Д о м е н c o n t o s o . c o m я в л я е т с я доверяющим доменом с исходящим

д о в е р и е м к д о в е р е н н о м у д о м е н у tailspintoys.com с входящим доверием.

2. В о й д и т е на к о м п ь ю т е р S E R V E R 0 1 как администратор домена contoso.com.

3. В п р о г р а м м н о й г р у п п е Администрирование (Administrative Tolls) откройте

оснастку Active D i r e c t o r y – д о м е н ы и доверие (Active Directory Domains

And T r u s t s ) .

4. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и домен contoso.com и выполните команду

Свойства ( P r o p e r t i e s ) .

5. П е р е й д и т е на в к л а д к у Д о в е р и я (Trusts).

6. Щ е л к н и т е к н о п к у Создать доверие (New Trusts). Откроется страница при-

ветствия М а с т е р с о з д а н и я о т н о ш е н и я доверия (Welcome То The New Trust

Wizard).

7. Щ е л к н и т е Д а л е е ( N e x t ) . О т к р о е т с я страница И м я доверия (Trust Name).

8. В поле И м я ( N a m e ) введите и м я tailspintoys.com. Щелкните Далее (Next).

Поскольку вы не конфигурировали DNS на компьютере SERVER01 для пе-

ресылки запросов домена tailspintoys.com уполномоченной службе DNS на

I 6 0 2 Домены и леса

Глава 12

машине SERVERTST.tailspintoys.com, в ы д о л ж н ы п р и м е н я т ь и м я N e t B I O S

домена tailspintoys.com. В п р о и з в о д с т в е н н о й среде на э т о м э т а п е рекомен-

' дуется DNS-имя домена. О т к р о е т с я с т р а н и ц а Т и п д о в е р и я ( T r u s t Туре).

9. Выберите тип Внешнее доверие ( E x t e r n a l T r u s t ) и щ е л к н и т е Д а л е е ( N e x t ) .

Откроется страница Н а п р а в л е н и е д о в е р и я ( D i r e c t i o n of T r u s t ) .

10. Выберите направление Одностороннее: и с х о д я щ е е ( O n e – w a y : O u t g o i n g ) .

Щелкните Далее (Next).

11. Выберите опцию Только для данного д о м е н а ( T h i s D o m a i n O n l y ) . Щ е л к -

ните Далее (Next). Откроется с т р а н и ц а У р о в е н ь п р о в е р к и п о д л и н н о с т и

исходящего доверия ( O u t g o i n g Trust A u t h e n t i c a t i o n Level).

12. Выберите уровень Проверка п о д л и н н о с т и в д о м е н е ( D o m a i n – W i d e A u t h e n -

tication) и щелкните Далее ( N e x t ) . О т к р о е т с я с т р а н и ц а П а р о л ь д о в е р и я

(Trust Password).

13. В полях Пароль доверия (Trust Password) и П о д т в е р ж д е н и е п а р о л я д о в е р и я

(Confirm Trust Password) введите с л о ж н ы й пароль. З а п о м н и т е его, поскольку

он понадобится для настройки входящего д о в е р и я д о м е н а tailspintoys.com.

Щелкните Далее (Next). О т к р о е т с я с т р а н и ц а В ы б о р д о в е р и я з а в е р ш е н

(Trust Selections Complete).

14. Просмотрите параметры и щ е л к н и т е Д а л е е ( N e x t ) . О т к р о е т с я с т р а н и ц а

j Создание доверия завершено ( T r u s t C r e a t i o n C o m p l e t e ) .

J 15. Просмотрите состояние и з м е н е н и й . Щ е л к н и т е Д а л е е ( N e x t ) . О т к р о е т с я

страница Подтверждение исходящего д о в е р и я ( C o n f i r m O u t g o i n g Trust). Не

следует подтверждать доверие, пока не будут с о з д а н ы обе его стороны.

16. Щелкните Далее (Next). Откроется с т р а н и ц а З а в е р ш е н и е мастера создания

отношения доверия (Completing T h e N e w T r u s t W i z a r d ) .

17. Щелкните кнопку Готово (Finish).

Откроется диалоговое окно с н а п о м и н а н и е м о том, ч т о ф и л ь т р а ц и я S I D

включена по умолчанию.

18. Щелкните О К .

19. Щелкните ОК, чтобы закрыть диалоговое окно свойств д о м е н а contoso.com.

Далее вы завершите создание входящего доверия для домена tailspintoys.com.

20. Войдите на компьютер S E R V E R T S T . t a i l s p i n t o y s . c o m к а к а д м и н и с т р а т о р

домена tailspintoys.com.

21. В программной группе Администрирование (Administrative Tools) откройте

оснастку Active Directory – домены и д о в е р и е ( A c t i v e D i r e c t o r y Domains

And Trust).

22. Щелкните правой кнопкой мыши домен tailspintoys.com и выберите Свойс-

тва (Properties).

23. Перейдите на вкладку Доверия (Trusts).

24. Щелкните кнопку Создать доверие (New Trusts). О т к р о е т с я страница при-

ветствия Мастер создания отношения д о в е р и я (Welcome То T h e New Trust

Wizard).

[ Занятие 2

Управление множеством доменов и доверительными связями §

6 0 3

25. Щ е л к н и т е Д а л е е ( N e x t ) . О т к р о е т с я страница И м я доверия (Trust Name).

26. В п о л е И м я ( N a m e ) в в е д и т е contoso и щ е л к н и т е Д а л е е (Next). Откроется

с т р а н и ц а Т и п д о в е р и я ( T r u s t Туре).

27. В ы б е р и т е т и п В н е ш н е е д о в е р и е ( E x t e r n a l T r u s t ) и щелкните Далее (Next).

О т к р о е т с я с т р а н и ц а Н а п р а в л е н и е д о в е р и я (Direction of Trust).

28. Выберите направление Одностороннее: входящее (One-way: Incoming) и щелк-

н и т е Д а л е е ( N e x t ) . О т к р о е т с я с т р а н и ц а Стороны доверия (Sides of Trust).

29. В ы б е р и т е о п ц и ю Т о л ь к о д л я д а н н о г о домена (This Domain Only) и щелк-

н и т е Д а л е е ( N e x t ) . О т к р о е т с я с т р а н и ц а Пароль доверия (Trust Password).

30. В п о л я П а р о л ь д о в е р и я ( T r u s t Password) и Подтверждение пароля доверия

( C o n f i r m T r u s t P a s s w o r d ) в в е д и т е пароль, созданный в шаге 13. Щелкните

Д а л е е ( N e x t ) . О т к р о е т с я с т р а н и ц а Выбор доверия завершен (Trust Selec-

tions C o m p l e t e ) .

31. Щ е л к н и т е Д а л е е ( N e x t ) . О т к р о е т с я страница Создание доверия завершено

( T r u s t C r e a t i o n C o m p l e t e ) .

32. П р о с м о т р и т е с о с т о я н и е и з м е н е н и й . Щ е л к н и т е Далее (Next). Откроется

с т р а н и ц а П о д т в е р ж д е н и е исходящего доверия (Confirm Outgoing Trust).

33. Щ е л к н и т е Д а л е е ( N e x t ) . О т к р о е т с я страница Завершение мастера создания

о т н о ш е н и я д о в е р и я ( C o m p l e t i n g T h e New Trust Wizard).

34. Щ е л к н и т е к н о п к у Готово ( F i n i s h ) .

35. Д л я того ч т о б ы з а к р ы т ь д и а л о г о в о е окно свойств домена tailspintoys.com,

щ е л к н и т е О К .

Упражнение 3. Подтверждение доверия

П р и в ы п о л н е н и и ш а г а 33 п р е д ы д у щ е г о у п р а ж н е н и я вам предоставлялась воз-

м о ж н о с т ь п о д т в е р д и т ь д о в е р и е . Вы т а к ж е можете подтвердить существующее

доверие. В этом у п р а ж н е н и и необходимо подтвердить доверие между доменами

contoso.com и tailspintoys.com.

1. В о й д и т е на к о м п ь ю т е р SERVER01.contoso.com как администратор домена

contoso.com.

2. В п р о г р а м м н о й г р у п п е Администрирование (Administrative Tolls) откройте

оснастку Active D i r e c t o r y – д о м е н ы и доверие (Active Directory Domains

And Trusts).

3. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и домен contoso.com и выполните команду

Свойства ( P r o p e r t i e s ) .

4. П е р е й д и т е на в к л а д к у Д о в е р и я (Trusts).

5. Выберите tailspintoys.com и щ е л к н и т е кнопку Свойства (Properties).

6. Щ е л к н и т е к н о п к у П р о в е р к а (Validate). Появится сообщение о том, что

доверие проверено, работоспособно и активно.

7. Щ е л к н и т е О К .

8. Д в а ж д ы щ е л к н и т е О К , чтобы закрыть диалоговые окна свойств.

I 627 Домены и леса

Глава 12

Упражнение 4. Предоставление доступа доверенным пользователям

Теперь нужно предоставить доступ к о б щ е й п а п к е в д о м е н е C o n t o s o д л я про-

изводственной команды из домена Tailspin Toys.

1. Создайте следующие объекты:

• глобальную группу Команда п р о д у к т а в д о м е н е tailspintoys.com;

• глобальную группу Р а з р а б о т ч и к и п р о д у к т а в д о м е н е contoso.com;

• локальную группу A C L _ P r o d u c t _ A c c e s s в д о м е н е c o n t o s o . c o m .

2. Создайте папку Проект на д и с к е С к о м п ь ю т е р а S E R V E R 0 1 .

3. Предоставьте группе ACL_Product_Access р а з р е ш е н и е И з м е н е н и я ( M o d i f y )

для папки Проект.

4. Откройте оснастку Active Directory – п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active

Directory Users And C o m p u t e r s ) д л я д о м е н а c o n t o s o . c o m .

5. Откройте свойства группы A C L _ P r o d u c t _ A c c e s s .

6. Перейдите на вкладку Ч л е н ы г р у п п ы ( M e m b e r s ) .

7. Щелкните кнопку Добавить ( A d d ) .

8. Введите Разработчики продукта и щ е л к н и т е О К .

9. Щелкните кнопку Добавить ( A d d ) .

10. Введите имя Т А Ш 5 Р Ш Т О У 8 П р о и з в о д с т в е н н а я к о м а н д а и щ е л к н и т е О К .

Откроется окно Безопасность W i n d o w s ( W i n d o w s S e c u r i t y ) . П о с к о л ь к у

это доверие одностороннее, ваша у ч е т н а я з а п и с ь . а д м и н и с т р а т о р а д о м е н а

contoso.com не имеет разрешения на чтение каталога д о м е н а tailspintoys.com.

Для чтения каталога tailspintoys.com требуется у ч е т н а я з а п и с ь в этом доме-

не. Если доверие является д в у х с т о р о н н и м , д а н н о е с о о б щ е н и е не п о я в и т с я .

11. В поле Имя пользователя (User N a m e ) в в е д и т е TAILCPINTOYSAdMUHucm-

ратор.

12. В поле Пароль (Password) введите п а р о л ь у ч е т н о й з а п и с и А д м и н и с т р а т о р

(Administrator) в домене tailspintoys.com.

13. Щелкните О К .

Отметим, что две глобальные г р у п п ы из д в у х д о м е н о в т е п е р ь я в л я ю т с я

членами локальной группы в д о м е н е contoso.com, к о т о р а я и м е е т д о с т у п

к общей папке.

Упражнение 5. Реализация выборочной проверки подлинности

В этом упражнении требуется ограничить в о з м о ж н о с т ь п о л ь з о в а т е л е й из доме-

на tailspintoys.com проходить проверку п о д л и н н о с т и иа к о м п ь ю т е р а х в домене

contoso.com.

1. На компьютере SERVER01.contoso.com о т к р о й т е о с н а с т к у Active Direc-

tory – домены и доверие (Active Directory D o m a i n s And Trusts).

2. Щелкните правой кнопкой м ы ш и домен contoso.com и в ы п о л н и т е команду

Свойства (Properties).

3. Перейдите на вкладку Доверия (Trusts).

4. Выберите домен tailspintoys.com и щ е л к н и т е к н о п к у Свойства (Properties).

[ Занятие 2

Управление множеством доменов и доверительными связями §

6 0 5

5. П е р е й д и т е на в к л а д к у П р о в е р к а п о д л и н н о с т и (Authentication).

6. Щ е л к н и т е о п ц и ю В ы б о р о ч н а я проверка подлинности (Selective Authentica-

t i o n ) и д в а ж д ы щ е л к н и т е О К .

В р е ж и м е в ы б о р о ч н о й п р о в е р к и подлинности пользователи из доверенного

домена не смогут п р о х о д и т ь п р о в е р к у подлинности на компьютерах в дове-

р я ю щ е м домене, д а ж е если и м е ю т разрешение доступа к папке. Доверенные

пользователи д о л ж н ы иметь разрешение Разрешено проверить подлинность

(Allow То A u t h e n t i c a t e ) д л я самого компьютера.

7. О т к р о й т е о с н а с т к у A c t i v e D i r e c t o r y – пользователи и компьютеры (Active

D i r e c t o r y U s e r s A n d C o m p u t e r s ) д л я домена contoso.com.

8. Щ е л к н и т е м е н ю В и д ( V i e w ) и у с т а н о в и т е ф л а ж о к Дополнительные ком-

п о н е н т ы ( A d v a n c e d F e a t u r e s ) .

9. В д е р е в е к о н с о л и в ы б е р и т е п о д р а з д е л е н и е Domain Controllers.

10. Н а п а н е л и с в е д е н и й щ е л к н и т е п р а в о й к н о п к о й мыши контроллер SER-

V E R 0 1 и в ы п о л н и т е к о м а н д у С в о й с т в а (Properties).

11. П е р е й д и т е на в к л а д к у Б е з о п а с н о с т ь (Security).

12. Щ е л к н и т е к н о п к у Д о б а в и т ь ( A d d ) .

13. Введите и м я TAILSPINTOYSKoM.anda продукта и щелкните ОК. Откроется

д и а л о г о в о е о к н о Б е з о п а с н о с т ь W i n d o w s (Windows Security). Поскольку

это д о в е р и е о д н о с т о р о н н е е , в а ш а учетная запись администратора домена

contoso.com не и м е е т р а з р е ш е н и я на чтение каталога домена tailspintoys.

com. Д л я ч т е н и я к а т а л о г а tailspintoys.com требуется учетная запись в этом

домене. Е с л и д о в е р и е двухстороннее, данное сообщение не появится.

14. В поле И м я пользователя ( U s e r N a m e ) введите TAILSPINTOYSAdMUHUcmpamop.

15. В п о л е П а р о л ь ( P a s s w o r d ) в в е д и т е пароль учетной записи Администратор

( A d m i n i s t r a t o r ) д о м е н а tailspintoys.com.

16. Щ е л к н и т е О К .

17. В с п и с к е р а з р е ш е н и й д л я к о м а н д ы продукта установите флажок Разре-

ш и т ь ( A l l o w ) д л я р а з р е ш е н и я Разрешено проверить подлинность (Allow

То A u t h e n t i c a t e ) и щ е л к н и т е О К .

Теперь к о м а н д а п р о д у к т а из д о м е н а tailspintoys.com может проходить про-

верку п о д л и н н о с т и на к о м п ь ю т е р е S E R V E R 0 1 и получит разрешение до-

ступа к о б щ е й п а п к е через ч л е н с т в о в группе ACL_Product_Access. Эти

пользователи не могут проходить проверку подлинности на других компью-

терах домена contoso.com, д а ж е если группе назначены разрешения доступа

к п а п к а м на э т и х компьютерах. Кроме того, другие пользователи из доме-

на tailspintoys.com не смогут получать доступ к ресурсам на компьютере

S E R V E R 0 1 . c o n t o s o . c o m .

Резюме

• Л е с Active Directory рекомендуется проектировать из одного домена. Одна-

ко в н е к о т о р ы х с л у ч а я х по причинам требований, в частности, связанных

с репликацией контекста именования доменов, может понадобиться создать

в лесу множество доменов.

I 6 0 6 Домены и леса

Глава 12

• Средство м и г р а ц и и Active D i r e c t o r y ( A c t i v e D i r e c t o r y M i g r a t i o n Tool,

A D M T ) используется д л я м и г р а ц и и о б ъ е к т о в м е ж д у д о м е н а м и в н у т р и

леса и между лесами. П р и п е р е м е щ е н и и в д р у г о й д о м е н у ч е т н а я з а п и с ь

получает новый S I D – и д е н т и ф и к а т о р . И д е н т и ф и к а т о р S I D и с х о д н о й учет-

ной записи можно добавить в а т р и б у т sIDHistory к о н е ч н о й у ч е т н о й записи,

чтобы новая учетная запись п о л у ч и л а д о с т у п к р е с у р с а м с р а з р е ш е н и я м и ,

назначенными для SID п р е д ы д у щ е й у ч е т н о й з а п и с и . С р е д с т в о A D M T п р и

выполнении миграции также п о д д е р ж и в а е т ч л е н с т в о в г р у п п а х .

• Доверительные связи позволяют п о л ь з о в а т е л я м в д о в е р е н н о м д о м е н е про-

ходить проверку подлинности на компьютерах, о т н о с я щ и х с я к д о в е р я ю щ е -

му домену и добавлять их в л о к а л ь н ы е г р у п п ы в д о м е н е и л и п р е д о с т а в л я т ь

доступ к ресурсам в доверяющем домене.

• Внутри леса между каждым д о ч е р н и м и р о д и т е л ь с к и м д о м е н а м и , а т а к ж е

между каждым корневым доменом д е р е в а и к о р н е в ы м д о м е н о м леса уста-

навливаются двухсторонние т р а н з и т и в н ы е д о в е р и т е л ь н ы е о т н о ш е н и я . Д л я

того чтобы улучшить проверку п о д л и н н о с т и в н у т р и леса, м о ж н о создавать

прямые доверительные связи.

• Доверительные отношения м о ж н о у с т а н а в л и в а т ь с в н е ш н и м и д о м е н а м и ,

лесами и сферами Kerberos v5. Э т и д о в е р и т е л ь н ы е о т н о ш е н и я могут быть

односторонними и двухсторонними. Д о в е р и т е л ь н ы е о т н о ш е н и я Kerberos v5

могут быть транзитивными и н е т р а н з и т и в н ы м и . Д о в е р и т е л ь н ы е о т н о ш е н и я

леса всегда являются т р а н з и т и в н ы м и , а в н е ш н и е д о в е р и т е л ь н ы е о т н о ш е -

ния – нетранзитивными.

• Выборочная проверка п о д л и н н о с т и п о з в о л я е т у п р а в л я т ь д о в е р е н н ы м и

пользователями и группами, к о т о р ы м р а з р е ш е н о п р о х о д и т ь п р о в е р к у под-

линности на компьютерах в д о в е р я ю щ е м домене.

• Карантин домена, который т а к ж е н а з ы в а е т с я ф и л ь т р а ц и е й S I D , по умолча-

нию включен для всех внешних д о в е р и т е л ь н ы х с в я з е й и о т н о ш е н и й м е ж д у

лесами. Он запрещает д о в е р е н н ы м п о л ь з о в а т е л я м п р е д с т а в л я т ь в с в о и х

данных авторизации S I D – и д е н т и ф и к а т о р ы из д р у г и х д о м е н о в , к р о м е ос-

новного домена учетной записи.

Закрепление материала

Приведенные далее вопросы предназначены д л я п р о в е р к и з н а н и й , п о л у ч е н н ы х

на занятии 2 (эти вопросы содержатся и на с о п р о в о д и т е л ь н о м компакт-диске).

ПРИМЕЧАНИЕ Ответы

Ответы на эти вопросы с пояснениями, почему тот или иной вариант является

правильным или неправильным, вы найдете в разделе «Ответы» в конце книги.

1. Являясь администратором в компании W i n g t i p Toys, к о т о р а я недавно при-

обрела компанию Tailspin Toys, вы планируете реструктурировать леса двух

компаний и переместить все объекты в домен wingtiptoys.com. А пока нужно

разрешить пользователям в доменах wingtiptoys.com и europe.wingtiptoys.

com входить на все компьютеры в домене tailspintoys.com. Какое доверие

[ Занятие 2 Управление множеством доменов и доверительными связями § 6 0 7

необходимо о т к о н ф и г у р и р о в а т ь в домене wingtiptoys.com? (Укажите все ва-

р и а н т ы . К а ж д ы й п р а в и л ь н ы й ответ я в л я е т с я частью полного решения.)

A. В х о д я щ е е .

Б. И с х о д я щ е е .

B. О д н о с т о р о н н е е .

Г. Д в у х с т о р о н н е е .

Д . С ф е р а .

Е. П р я м о е .

Ж . Л е с .

3 . В н е ш н е е .

2. В к о м п а н и и W i n g t i p Toys, к о т о р а я недавно приобрела компанию Tailspin


    Ваша оценка произведения:

Популярные книги за неделю