Файловый архив студентов. Файловый архив студентов.
1312 вуза, 5269 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Сочинский Государственный Университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Олифер. Сетевые операционные системы.docx
Скачиваний:
3
Добавлен:
01.07.2025
Размер:
16.5 Mб
Скачать
►Содержание►

Иерархия доменов. Доверительные отношения

Домены являются более независимыми структурными единицами, чем организационные единицы внутри домена. В частности, именно пределами домена, а не OU ограничиваются действие политики паролей (password policies), устанавливающей длину и другие параметры паролей пользователей, и действие политики блокировки учетных записей (account lockout policies), определяющей функции администратора в тех случаях, когда пользователь забыл или не смог правильно набрать свой пароль, и его учетная запись была заблокирована. Разграничение функций по администрированию на уровне доменов происходит очень естественно благодаря тому, что каждый домен имеет встроенные группы Administrators и Server Operators, членам которых разрешено совместно использовать папки и форматировать диски только на контроллерах своего домена.

Такие свойства доменов делают привлекательной идею представления сети в виде нескольких доменов. Наиболее часто используемой многодоменной структурой является дерево доменов (рис. 11.15).

Рис. 11.15. Дерево доменов

На рисунке показано трехуровневое дерево доменов. Каждый домен условно изображен в виде треугольника. Упорядочение доменов по уровням иерархии происходит аналогично упорядочиванию каталогов файловой сиcтемы. Первый по времени создания домен становится корнем дерева. Для следующего создаваемого домена, называемого потомком, корневой домен является родительским. Далее при создании каждого последующего домена необходимо выбрать, какой из существующих доменов будет его родительским доменом. Корневой домен на рисунке имеет двух потомков: домен 1 и домен 2. Каждый из них в свою очередь является родительским доменом для доменов третьего уровня. Домены 3, 4 и 5 — потомки домена 1, а домен 6 — потомок домена 2. Дерево до­менов, показанное на рисунке, состоит из двух ветвей.

Иерархические отношения между доменами выражаются в том числе и в их именовании. Корневому домену при его создании присваивается DNS-имя, пусть это будет, например, company.ru (рис. 11.16). Все домены-потомки получают «в наследство» имя родительского домена, которое добавляется к их собственным именам, образуя DNS-имена следующего уровня. В нашем примере домен production имеет полное имя production.company.ru, а домен academic — имя academic.research.company.ru. Множество полученных таким образом имен доменов (и объектов) образует пространство имен дерева доменов.

Между каждым новым доменом-потомком и его родительским доменом автоматически устанавливаются так называемые доверительные отношения. Установление доверительных отношений включает передачу части доменного справочника присоединяемого домена в глобальный каталог родительского домена, после чего он становится общим для всего дерева доменов. Глобальный каталог создается автоматически во время установки первого контроллера в первом до­мене сети. Первоначально в главном каталоге размещается полная копия всех объектов, относящихся к этому первому домену. В результате создания, новых доменов к главному каталогу прибавляются частичные копии баз данных каждого из этих доменов. Эти копии содержат атрибуты объектов, позволяющие определить местонахождение соответствующих объектов, а значит, дающие пользователям возможность получать доступ к объектам не только своих, но и других доменов.

Рис. 11.16. Пространство имен дерева доменов

Для обеспечения безопасности в процедуру установления доверительных отношений вовлечена система аутентификации Kerberos1.

Установление доверительных отношений между двумя доменами дает возможность:

  • пользователю (или группе пользователей) одного домена получать доступ к ресурсам другого домена (это означает, что нет необходимости создавать две учетные записи в этих двух доменах для одного и того же пользователя);

  • администрировать один домен из другого домена, для чего необходимо включить в группу пользователей, наделенную правами администрирования домена, пользователей из другого домена.

В Active Directory доверительные отношения, устанавливаемые по умолчанию между родительским доменом и доменом-потомком, являются транзитивными и двусторонними.

Доверительные отношения транзитивны, если из того, что А доверяет В, а В доверяет С, автоматически следует, что А доверяет С. Отношения являются двусторонними, если из того, что А доверяет В, следует, что В доверяет А.

Отсюда следует, что все домены дерева связаны друг с другом двусторонними транзитивными доверительными отношениями.

ПРИМЕЧАНИЕ В Active Directory OU-деревья разных доменов никак не связаны между собой в отличие, например, от справочной службы NDS компании Novell, в которой OU-деревья всех доменов сети образуют единое дерево.

Active Directory может иметь и более сложную доменную структуру, состоящую из нескольких деревьев, называемую лесом (рис. 11.17). Все домены леса, так же как и домены дерева, связаны двусторонними транзитивными доверительными отношениями, то есть имеют общий глобальный каталог. Следовательно, пользователи сети, имеющей доменную структуру в виде леса, могут быть наделены правом доступа к любым ресурсам любого домена.

Корневые домены каждого дерева, входящего в лес, получают независимые друг от друга DNS-имена, порождающие непересекающиеся пространства имен. То есть в отношении именования доменов (и объектов) деревья леса равноправны между собой.

В то же время корневые домены деревьев, составляющих лес, относятся к разным уровням иерархии, а именно, домен, который по времени был создан раньше (пусть это домен comp.ru), становится корневым доменом леса и находится на более высоком уровне иерархии, нежели созданный позже домен branch.ru. Корневой домен леса отличается от всех корневых доменов деревьев, составляющих лес, тем, что только в корневом домене леса имеются встроенные группы Enterprise Admins и Schema Admins, члены которых наделены правом администрирования в пределах леса. Однако, несмотря на более низкое положение в иерархии, было бы ошибкой интерпретировать фрагмент леса, порождаемый доменом branch.ru, как ветвь дерева comp.ru. Между доменами branch.ru и comp.ru нет отношений родитель-потомок и, как следствие, у них разные пространства имен.

Рис. 11.17. Лес доменов

Еще одной доменной структурой, используемой в Active Directory, является модель множественных лесов. Эта модель может оказаться полезной для крупных транснациональных корпораций, образованных в результате слияния нескольких предприятий, а Также в тех случаях, когда организация представляет собой объединение нескольких крупных и достаточно независимых подразделений. Являясь наиболее децентрализованной структурой, модель множественных лесов состоит из нескольких изначально совершенно не связанных между собой лесов. Между доменами разных лесов могут быть установлены контроли­руемые администратором доверительные отношения, однако это происходит не автоматически, как при построении деревьев и лесов, а в результате некоторых дополнительных действий администратора.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности