Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Tema1_-Seti.doc
Скачиваний:
3
Добавлен:
01.03.2025
Размер:
4.28 Mб
Скачать

5.8Недоверительные отношения между доменами

Конечно же, может существовать несколько доменов, между которыми не установлены доверительные отношения. Например, у пользователя могут быть учетные записи в каждом домене многодоменной сети. На рис. 10 показана сеть с двумя доменами; один домен называется Marketing, а другой Finance.

Рис. 10. Домены, между которыми не установлены доверительные отношения

У Маргарет есть пользовательское имя в каждом домене. В домене Finance она регистрируется как Mag, а в домене Marketing как Мед. Имена в учетных записях взяты просто для примера. Когда между доменами не установлены доверительные отношения, в каждом из них у пользователя вполне может быть одно и то же имя.

Когда Маргарет регистрируется в домене Marketing, она получает доступ к его ресурсам, как установлено администратором, но у нее нет при этом доступа к домену Finance. Аналогично при входе в домен Finance у нее нет доступа к домену Marketing. Чтобы снова добраться до ресурсов домена Marketing, Маргарет должна выйти из домена Finance и войти в домен Marketing.

При таком подходе возникает проблема, когда пользователю, имеющему доступ к нескольким доменам, требуется одновременный доступ к их ресурсам, что при данной организации невозможно. Все эти входы и выходы малоэффективны и утомительны. Ситуация быстро становится кошмаром и для администратора. В любой достаточно крупной сети, требующей наличия нескольких доменов, будет много пользователей, и у многих из них будут учетные записи в нескольких доменах. Каждый раз, когда надо будет сменить пароль или изменить права доступа, администратору придется пройтись по доменам, регистрируясь и выполняя нужные изменения в каждом из них. Очень скоро это утомит.

5.9Односторонние доверительные отношения

Чтобы удовлетворить пользователя, которому необходим доступ к обоим доменам (Marketing и Finance), описанным выше, можно установить между доменами одностороннее доверительное отношение. Рис. 11 иллюстрирует этот самый простой тип доверительных отношений. Домен Finance является доменом-доверителем, a Marketingдоверенным доменом.

Рис. 11. Одностороннее доверительное отношение

Если пользователь может войти в домен Marketing, то домен Finance доверяет ему, считая, что пользователь вошел и в него. Это вовсе не означает, что пользователь автоматически получит доступ к ресурсам домена Finance, ему должны быть выданы соответствующие разрешения администратором этого домена. Это не означает также, что пользователи, которые вошли непосредственно в домен Finance, имеют доступ к домену Marketing, доверенному домену. Для того чтобы это стало возможным, необходимо отдельно установить еще одно одностороннее доверительное отношение, в котором доменом-доверителем будет Marketing, а доверенным доменом — Finance.

Обычно в многодоменной сети односторонние доверительные отношения не могут адекватно описать все требуемые взаимодействия. Для того чтобы удов­летворить нужды пользователя, понадобится по крайней мере одно двустороннее доверительное отношение.

5.10Двусторонние доверительные отношения

Двусторонние доверительные отношения предоставляют большую гибкость регулирования доступа пользователя к ресурсам и значительно упрощают администрирование сети. При двусторонних доверительных отношениях пользователь, вошедший в один домен, будет считаться прошедшим проверку подлинности в другом домене. У пользователя в этом случае должен быть доступ к ресурсам другого домена в пределах, установленных администратором этого домена. Двусторонние доверительные отношения устанавливаются посредством двух односторонних доверительных отношений, по одному в каждом направлении, как показано на рис. 6. Двусторонняя стрелка указывает на то, что домен Finance доверяет домену Marketing, а домен Marketing доверяет домену Finance. Не забывайте, что действительные отношения состоят из двух отдельных односторонних доверительных отношений. Если возникнут обстоятельства, при которых потребуется изменить доверительные отношения, необходимо помнить, что в действительности в них вовлечены два отношения.

Рис. 12. Двусторонние доверительные отношения

Главным достоинством двусторонних доверительных отношений является то, что учетные записи пользователей необходимо создавать лишь один раз, предпочтительно в основном («домашнем») домене. Они будут доступны на всех доменах-доверителях, что значительно облегчает администрирование сети. При этом допускается децентрализованное администрирование системы; каждое подразделение может заниматься собственными делами, не заботясь о распростра­нении во все домены каждого изменения учетных записей пользователей.

На крупном предприятии, как правило, организуется несколько отдельных доменов. Принцип разделения сети на домены может быть самый различный. Например, функциональный (отдел кадров, бухгалтерия, плановый отдел, администрация...) или территориальный (Москва, Санкт-Петербург, Петрозаводск, Мурманск...).

Рис.13

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]