Файловый архив студентов. Файловый архив студентов.
1312 вуза, 5253 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Финансовый университет при Правительстве РФ
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Основные понятия Active Directory.docx
Скачиваний:
2
Добавлен:
01.07.2025
Размер:
297.49 Кб
Скачать
►Содержание►

Управление средой с несколькими лесами

Доверия лесов помогают управлять разделенной инфраструктурой Active Directory внутри организации, предоставляя поддержку для доступа к ресурсам и другим объектам через несколько лесов. Дополнительные сведения о доступе к ресурсам через несколько лесов см. в разделе Доступ к ресурсам через леса.

Поскольку каждый лес администрируется отдельно, добавление новых лесов повышает потребность организации в управлении. Дополнительные сведения см. в разделе Создание нового леса.

Создание нескольких лесов в организации имеет смысл, если необходимо:

  • защищать данные внутри каждого леса. Секретные данные могут быть защищены, так что только пользователи внутри данного леса могут иметь доступ к ним;

  • изолировать репликацию каталога внутри каждого леса. Изменения схемы, изменения настройки и добавление новых доменов к лесу действуют только в пределах этого леса и не оказывают влияния в лесу-доверителе.

Делегирование управления администрированием уровня леса

Данные Active Directory, которые хранятся в схеме и контейнерах настройки, реплицируются на каждый из контроллеров домена в лесу. После того как изменения в схеме и контейнерах настройки повлияют на все домены в лесу, управление администрированием и изменениями уровня леса должно быть поручено высококвалифицированным и опытным администраторам. Все данные домена, содержащиеся в корневом домене леса, должны рассматриваться как совершенно секретные.

Следующие группы обеспечивают управление администрированием на уровне леса в каждом из лесов:

  • администраторы предприятия;

  • администраторы домена (в корневом домене леса);

  • администраторы схемы.

Поскольку членство в любой из этих групп может влиять на поведение всего леса, необходимо соблюдать осторожность при добавлении пользователей. По соображениям безопасности следует избегать добавления пользователей из другого леса к любой из этих групп, выполняющих задачи администрирования на уровне леса. Дополнительные сведения об этих группах см. в разделе Группы по умолчанию.

Синхронизация данных через леса

При помощи служб MMS или другого поддерживаемого средства синхронизации можно синхронизировать списки и объекты глобальных адресов через леса. Наиболее распространенными типами данных, нуждающихся в синхронизации через леса, являются следующие:

  • списки глобальных адресов;

  • общие папки;

  • объекты каталога.

Синхронизация этих данных через леса даст возможность конечным пользователям просматривать списки адресов и другие данные тем же способом, что и данные своего леса.

Дополнительные сведения о MMS см. в документе Microsoft Metadirectory Services.

Доступ к ресурсам через домены Доступ к ресурсам через домены

Поскольку два и более домена Active Directory в пределах одного леса неявно связаны двусторонними транзитивными отношениями доверия, запросы проверки подлинности, отправленные одним доменом другому, успешно маршрутизируются для обеспечения полной совместимости ресурсов доменов. Пользователи могут получить доступ к ресурсам других доменов только после прохождения проверки подлинности в собственном домене.

Контроллеры домена, работающие под управлением Windows 2000 и Windows Server 2003 производят проверку подлинности пользователей и приложений с помощью одного из двух протоколов проверки подлинности: Kerberos V5 или NTLM. Дополнительные сведения о проверке подлинности Kerberos V5 см. в разделе Проверка подлинности Kerberos V5. Дополнительные сведения о проверке подлинности по протоколу NTLM см. в разделе Проверка подлинности NTLM. Дополнительные сведения о процессе проверки подлинности в Active Directory см. в разделе Управление доступом в Active Directory.

После прохождения проверки подлинности пользователь может попытаться получить доступ к ресурсам любого домена леса с помощью процесса проверки подлинности в Active Directory. Дополнительные сведения о процессе проверки подлинности в Active Directory см. в разделе Сведения о безопасности для Active Directory.

Чтобы получить доступ к общему ресурсу другого домена с помощью Kerberos, рабочая станция пользователя сначала запрашивает билет у контроллера домена в том домене, которому принадлежит данная учетная запись, для сервера (владеющего ресурсом) в домене-доверителе. Данный билет затем выдается посредником, которому доверяют и рабочая станция, и сервер. Рабочая станция предоставляет этот доверенный билет серверу в домене-доверителе для проверки подлинности.

Приведенный ниже рисунок и соответствующие шаги предоставляют подробное описание процесса проверки подлинности Kerberos, который используется, когда компьютер, работающий под управлением Windows 2000 Professional, Windows 2000 Server, Windows XP Professional., или операционной системы семейства Windows Server 2003, пытается получить доступ к ресурсам сервера, расположенного в другом домене.

  1. Пользователь «Пользователь_1» входит в компьютер «Рабочая_станция_1», используя учетные данные домена child1.microsoft.com. В ходе этого процесса производящий проверку подлинности контроллер домена выдает пользователю «Пользователь_1» билет на выдачу билета (TGT). Этот билет необходим для прохождения проверки подлинности для ресурсов. После этого пользователь пытается получить доступ к общему ресурсу (\\fileserver1\share) на файловом сервере, расположенном в домене «Дочерний_домен_2».

  2. «Рабочая_станция_1» связывается с центром распространения ключей KDC в контроллере своего домена (ChildDC1) и запрашивает билет службы для имени участника службы (SPN) «Файловый_сервер_1».

  3. «Дочерний_контроллер_домена_1» не находит данное имя SPN в своей базе данных домена и запрашивает глобальный каталог, чтобы выяснить, содержит ли это имя SPN один из доменов данного леса. Глобальный каталог отправляет запрашиваемые сведения обратно контроллеру «Дочерний_контроллер_домена_1».

  4. «Дочерний_контроллер_домена_1» посылает ссылку на компьютер «Рабочая_станция_1».

  5. «Рабочая_станция_1» связывается с контроллером домена «Контроллер_домена_леса_корня» (родительский домен) для ссылки на контроллер домена «Дочерний_котроллер_домена_2» в домене «Дочерний_домен_2». «Контроллер_домена_корня_леса_1» посылает ссылку на компьютер «Рабочая_станция_1».

  6. Компьютер «Рабочая_станция_1» обращается в центр распространения ключей (KDC) на компьютере «Дочерний_контроллер_домена_2» и согласовывает билет для пользователя «Пользователь_1» для получения доступа к компьютеру «Файловый_сервер_1».

  7. Теперь, когда у «Рабочей_станции_1» есть билет службы, она отправляет его на «Файловый_сервер_1», который считывает учетные данные пользователя и соответствующим образом формирует маркер доступа.

Каждый домен содержит свой набор политик безопасности, которые определяются отдельно для каждого домена. Дополнительные сведения см. в разделе Домены.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности