Доверительные отношения

Для доступа к ресурсам своего домена пользователю достаточно ввести имя своей учетной записи и пройти процедуры аутентификации и авторизации. Аутентификация (authentication) – это процесс проверки подлинности пользователя, т. е. подтверждение того, что пользователь является тем, за кого себя выдает. Аутентификация в Windows Server 2003 осуществляется путем предъявления системе пароля. В случае успешной аутентификации наступает этап авторизации (authorization) – это определение набора прав, которыми обладает пользователь.

При наличии необходимых прав (подробнее о правах доступа – в следующей лекции) пользователь может получить доступ к любому ресурсу домена. Однако для доступа к ресурсам другого домена между доменами должны быть установлены доверительные отношения (trust relationship).

Существует два вида доверительных отношений: односторонние (one-way trust relationship) и двусторонние (two-way trust relationship). Односторонние доверительные отношения означают, что пользователь одного домена (доверенного, trusted domain) получает доступ к ресурсам другого домена (доверяющего, trusting domain), но обратное неверно (рис. 7.5).

Рис. 7.5. Односторонние доверительные отношения

Иначе говоря, доверяющий домен делегирует право аутентификации пользователей доверенному домену.

Двусторонние доверительные отношения предполагают обоюдный процесс делегирования права аутентификации (рис. 7.6).

Рис. 7.6. Двусторонние доверительные отношения

При создании доменной структуры некоторые доверительные отношения устанавливаются автоматически, другие приходится настраивать вручную.

Перечислим автоматически устанавливаемые двусторонние доверительные отношения:

• внутри дерева доменов;

• между корневыми доменами деревьев одного леса;

• между деревьями одного леса (эти отношения являются следствием доверительных отношений между корневыми доменами деревьев).

В остальных случаях доверительные отношения следует устанавливать вручную (например, между лесами доменов или между лесом и внешним доменом, не принадлежащим этому лесу).

Организационные подразделения

Структурирование сетевых ресурсов организации при помощи доменов не всегда бывает оправданно, так как домен подразумевает достаточно крупную часть сети. Часто для администратора возникает необходимость группировки объектов внутри одного домена. В этом случае следует использовать организационные подразделения (organizational unit).

Организационные подразделения можно использовать в качестве контейнера для следующих объектов:

• пользователей;

• групп пользователей;

• контактов;

• компьютеров;

• принтеров;

• общих папок;

• других организационных подразделений.

Объекты группируются с помощью ОП для следующих целей¹:

1. управление несколькими объектами как одним целым – для этого используются групповые политики (см. следующую лекцию);

2. делегирование прав администрирования, ­– например начальнику отдела можно делегировать административные права на его отдел, при условии объединения всех объектов отдела в организационную единицу.

В качестве примера структуризации с использованием ОП можно привести возможную структуру домена факультета математики (см. рис. 7.7).

Рис. 7.7. Домен факультета математики

В данной ситуации выделение из домена math дочерних доменов не имеет смысла, так как факультет слишком мал. С другой стороны, требуется отразить в Active Directory внутреннюю структуру факультета. Решением является структуризация с применением организационных подразделений – в домене создаются ОП деканата и кафедр алгебры и геометрии. При этом для каждого подразделения администратор может назначить собственный набор правил (например, общие требования к паролям).