- •Введение в Active Directory Введение в Active Directory
- •Новые возможности Active Directory Новые возможности Active Directory в Windows Server 2003 Service Pack 1 (sp1)
- •Новые возможности Active Directory в Windows Server 2003
- •Новые возможности Active Directory уровня домена и уровня леса
- •Сведения о безопасности для Active Directory Сведения о безопасности для Active Directory
- •Защита доступа к сети
- •Общее представление о службе Active Directory. Общее представление о службе Active Directory.
- •Защита Active Directory Защита Active Directory
- •Управление доступом в Active Directory Управление доступом в Active Directory
- •Дескрипторы безопасности
- •Наследование объектов
- •Проверка подлинности пользователя
- •Именование в Active Directory Именование в Active Directory
- •Учетные записи пользователей
- •Учетные записи компьютеров
- •Хранилище данных каталога Хранилище данных каталога
- •Квоты и разделы каталога
- •Протокол доступа к каталогам Протокол доступа к каталогам
- •Протокол ldap
- •Ldap и взаимодействие
- •Учетные записи пользователей и компьютеров Учетные записи пользователей и компьютеров
- •Учетные записи пользователей
- •Защита учетных записей пользователей
- •Параметры учетных записей
- •Учетные записи InetOrgPerson
- •Учетные записи компьютеров
- •Имена объектов Имена объектов
- •Подразделения Подразделения
- •Роли сервера Active Directory Роли сервера Active Directory
- •Рядовые серверы
- •Контроллеры домена
- •Клиенты Active Directory Клиенты Active Directory
- •Общее представление о доменах и лесах Общее представление о доменах и лесах
- •Контроллеры домена Контроллеры домена
- •Определение количества необходимых контроллеров домена
- •Физическая безопасность
- •Архивация контроллеров домена
- •Обновление контроллеров домена
- •Переименование контроллеров домена Переименование контроллеров домена
- •Подключение к контроллерам домена, работающим под управлением Windows 2000 Подключение к контроллерам домена, работающим под управлением Windows 2000
- •Домены Домены
- •Создание домена
- •Планирование нескольких доменов
- •Удаление домена
- •Доверительные отношения между доменами
- •Переименование доменов Переименование доменов
- •Изменение структуры леса
- •Функциональность домена и леса Функциональность домена и леса
- •Режимы работы домена
- •Режимы работы леса
- •Повышение режимов работы домена и леса Повышение режимов работы домена и леса
- •Разделы каталога приложений Разделы каталога приложений
- •Именование разделов каталога приложений
- •Репликация разделов каталога приложений
- •Домен ссылок дескрипторов безопасности
- •Разделы каталога приложений и понижение роли контроллера домена Разделы каталога приложений и понижение роли контроллера домена
- •Определение приложения, использующего раздел каталога приложений
- •Определение безопасности удаления последней реплики
- •Поиск средства удаления раздела, входящего в состав приложения
- •Удаление раздела каталога приложений с помощью специального средства или программы Ntdsutil
- •Управление разделами каталога приложений Управление разделами каталога приложений
- •Создание раздела каталога приложений
- •Удаление раздела каталога приложений
- •Добавление или удаление реплики раздела каталога приложений
- •Задание домена ссылок раздела каталога приложений
- •Задание задержки уведомления репликации
- •Просмотр сведений о разделе каталога приложений
- •Делегирование создания разделов каталога приложений
- •Роли хозяев операций Роли хозяев операций
- •Роли хозяина операций на уровне всего леса
- •Хозяин схемы
- •Хозяин именования домена
- •Роли хозяина операций на уровне всего домена
- •Хозяин rid
- •Хозяин эмулятора pdc
- •Хозяин инфраструктуры
- •Передача ролей хозяев операций Передача ролей хозяев операций
- •Действия при неполадках хозяина операций Действия при неполадках хозяина операций
- •Сбой хозяина схемы
- •Сбой хозяина именования доменов
- •Сбой хозяина rid
- •Сбой хозяина эмулятора pdc
- •Сбой хозяина инфраструктуры
- •Область действия группы Область действия группы
- •Когда следует использовать группы с локальной доменной областью действия
- •Когда следует использовать группы с глобальной областью действия
- •Когда следует использовать группы с универсальной областью действия
- •Изменение области действия группы
- •Группы на клиентских компьютерах и изолированные серверы
- •Типы группы Типы группы
- •Группы распространения
- •Группы безопасности
- •Преобразование групп безопасности и распространения
- •Группы по умолчанию Группы по умолчанию
- •Группы в контейнере Builtin
- •Группы в контейнере «Пользователи»
- •Вложенность групп Вложенность групп
- •Специальные удостоверения Специальные удостоверения
- •Где могут создаваться группы Где могут создаваться группы
- •Общее представление об отношениях доверия
- •Общее представление об отношениях доверия
- •Протоколы отношений доверия
- •Объекты доверенного домена
- •Типы доверия Типы доверия
- •Доверия по умолчанию
- •Другие доверия
- •Направление отношения доверия Направление отношения доверия
- •Одностороннее отношение доверия
- •Двустороннее отношение доверия
- •Транзитивность доверия Транзитивность доверия
- •Транзитивные доверительные отношения
- •Нетранзитивное доверительное отношение
- •Когда следует создавать внешнее доверие Когда следует создавать внешнее доверие
- •Защита внешних доверий
- •Как действует карантин фильтрации кодов безопасности
- •Общее представление об угрозе
- •Влияние карантина фильтрации кодов sid
- •Отключение карантина фильтрации sid
- •Разрешение прохождения отношений доверия лесов для журнала sid
- •Когда необходимо создавать сокращенное доверие Когда необходимо создавать сокращенное доверие
- •Использование одностороннего доверия
- •Использование двустороннего доверия
- •Когда необходимо создавать отношение доверия со сферой Когда необходимо создавать отношение доверия со сферой
- •Когда необходимо создавать доверие лесов Когда необходимо создавать доверие лесов
- •Использование одностороннего доверия лесов
- •Использование двустороннего доверия лесов
- •Доверия лесов Доверия лесов
- •Управление средой с несколькими лесами
- •Делегирование управления администрированием уровня леса
- •Синхронизация данных через леса
- •Доступ к ресурсам через домены Доступ к ресурсам через домены
- •Планирование стратегии управления доступом для нескольких доменов
- •Советы и рекомендации по контролю доступа к общим ресурсам доменов
- •Выборочная проверка подлинности между доменами, соединенными внешним доверием
- •Доступ к ресурсам через леса Доступ к ресурсам через леса
- •Подсказки по маршрутизации
- •Планирование стратегии управления доступом для нескольких лесов
- •Советы и рекомендации по использованию групп безопасности через леса
- •Выборочная проверка подлинности между лесами
- •Маршрутизация суффиксов имен между лесами Маршрутизация суффиксов имен между лесами
- •Обнаружение конфликтов
- •Использование сайтов
- •Использование подсетей для защиты сайтов
- •Принадлежность компьютеров к сайтам
- •Общее представление о сайтах и доменах
- •Общие сведения о репликации Общие сведения о репликации
- •Подготовка данных для репликации
- •Повышение эффективности репликации с сайтами
- •Определение топологии репликации
- •Улучшения репликации в семействе Windows Server 2003
- •Как работает репликация Как работает репликация
- •Передача данных репликации
- •Предотвращение ненужной репликации
- •Разрешение конфликтующих изменений
- •Улучшение эффективности репликации
- •Репликация в пределах сайта Репликация в пределах сайта
- •Построение топологии внутрисайтовой репликации
- •Определение времени выполнения внутрисайтовой репликации
- •Репликация между сайтами Репликация между сайтами
- •Построение топологии межсайтовой репликации
- •Определение времени выполнения межсайтовой репликации
- •Когда следует устанавливать одиночные или раздельные сайты Когда следует устанавливать одиночные или раздельные сайты
- •Почему важна пропускная способность
- •Когда следует устанавливать одиночный сайт
- •Когда следует устанавливать раздельные сайты
- •Пропускная способность Пропускная способность
- •Частота репликации
- •Доступность связи сайтов
- •Настройка мостов связей сайтов
- •Настройка основных серверов-плацдармов
- •Репликация глобального каталога Репликация глобального каталога
- •Добавление атрибутов
- •Запрет непредвиденного доступа к данным глобального каталога
- •Влияние универсальных групп на репликацию глобального каталога
- •Настройка глобального каталога Настройка глобального каталога
- •Глобальные каталоги и сайты Глобальные каталоги и сайты
- •Кэширование членства в универсальных группах
- •Интеграция с групповой политикой Интеграция с групповой политикой
- •Общее представление о схеме Общее представление о схеме
- •Как определяются объекты каталога
- •Как хранится схема
- •Кэш схемы
- •Обеспечение безопасности схемы
- •Классы и атрибуты схемы Классы и атрибуты схемы
- •Типы классов
- •Атрибуты
- •Однозначные и многозначные атрибуты
- •Индексированные атрибуты
- •Имена объектов схемы Имена объектов схемы
- •Отображаемого имени протокола ldap.
- •Обычное имя
- •Идентификатор объекта
- •Правила именования объектов схемы
- •Псевдонимы очереди сообщений
- •Деактивация класса или атрибута Деактивация класса или атрибута
- •Включение отключенного класса
- •Включение отключенного атрибута
- •Расширение схемы Расширение схемы
- •Перед расширением схемы
- •Как расширить схему
- •Использование проверочного леса
- •Использование мастера установки Active Directory Использование мастера установки Active Directory
- •Конфигурация dns
- •Поддержка имеющихся приложений
- •Создание дополнительного контроллера домена Создание дополнительных контроллеров домена
- •Использование носителя архива для создания дополнительных контроллеров домена
- •Создание нового дерева доменов Создание нового дерева доменов
- •Создание нового дочернего домена Создание нового дочернего домена
- •Создание нового леса Создание нового леса
- •Когда следует создавать новый лес
- •Роли хозяев операций в новом лесу
- •Добавление новых доменов в состав леса
- •Перед созданием нового леса
- •Обновление основного контроллера домена
- •Обновление всех оставшихся резервных контроллеров домена
- •Завершение обновления домена
- •Установка клиентского программного обеспечения Active Directory на устаревшие компьютеры клиентов
- •Обновление домена Windows 2000 Обновление домена Windows 2000
- •Преобразованные группы и Microsoft Exchange
- •Использование преобразованных групп на серверах под управлением Windows Server 2003
- •Администрирование Active Directory Администрирование Active Directory
- •Использование команды «Запуск от имени» Использование команды «Запуск от имени»
- •Использование сохраненных запросов Использование сохраненных запросов
- •Управление службой Active Directory из mmc Управление службой Active Directory из mmc
- •Настройка режима отображения данных в средствах администрирования и оснастках Active Directory
- •Использование оснастки «Active Directory - пользователи и компьютеры»
- •Запуск консолей mmc в Active Directory из командной строки
- •Управление Active Directory из командной строки Управление Active Directory из командной строки
- •Поиск данных каталога Поиск данных каталога
- •Ограничение доступа к данным каталога
- •Эффективные поисковые средства
- •Администрирование других доменов Администрирование других доменов
- •Делегирование администрирования Делегирование администрирования
- •Безопасное делегирование администрирования
- •Настройка консолей mmc для определенных групп
- •Использование групповой политики для публикации и назначения специальных консолей
- •Публикация ресурсов Публикация ресурсов
- •Публикация пользователей и компьютеров
- •Публикация общих принтеров
- •Публикация общих папок
- •Публикация служб
- •Категории данных службы
- •Характеристики данных служб
- •Задачи для выполнения на контроллере домена
- •Задачи для выполнения на серверах приложений
- •Средства поддержки Active Directory Средства поддержки Active Directory
- •Список и описание программ
- •Интерфейсы программирования Интерфейсы программирования
Выборочная проверка подлинности между лесами
Используя оснастку «Active Directory — домены и доверие», можно определять область проверки подлинности между двумя лесами, которые соединены доверием лесов. Для входящих и исходящих доверий лесов можно задать выборочную проверку подлинности по-разному. При использовании выборочных доверий администраторы могут принимать решения о гибком управлении доступом в лесу. Дополнительные сведения о задании выборочной проверки подлинности см. в разделе Выбор области проверки подлинности для пользователей.
При использовании проверки подлинности в лесу на входящем доверии лесов пользователи из внешнего леса имеют тот же уровень доступа к ресурсам в локальном лесу, как и пользователи, которые принадлежат локальному лесу. Например, если лес А имеет входящее доверие лесов из леса Б и используется проверка подлинности в лесу, пользователи из леса Б будут иметь доступ к любому ресурсу в лесу А (предполагая, что они имеют требуемые разрешения).
При задании выборочной проверки подлинности на входящее доверие лесов необходимо вручную назначить разрешения для каждого компьютера в домене, а также для ресурсов, к которым у пользователей из второго леса должен быть доступ. Для этого в оснастке «Active Directory — пользователи и компьютеры» во втором лесу задайте право управления доступом Разрешено проверить подлинность объекту компьютера, в котором размещается ресурс. Затем разрешите доступ пользователей или групп к конкретным ресурсам, которые требуется открыть для совместного использования.
Когда пользователь выполняет проверку подлинности через доверие с включенным параметром Выборочная проверка подлинности, код безопасности (SID) другая_организация добавляется к данным авторизации пользователя. Наличие этого кода безопасности предлагает проверку домена ресурсов, чтобы убедиться, что пользователю разрешена проверка подлинности в конкретной службе. Как только пользователь прошел проверку подлинности, сервер, в котором он проверяет подлинность, добавляет код безопасности данная_организация, если код безопасности другая_организация уже не присутствует. Только один из этих специальных кодов безопасности может присутствовать в контексте пользователя, прошедшего проверку. Дополнительные сведения о выборочной проверке подлинности см. в разделе Аспекты безопасности для доверия. (Может быть на английском языке.)
Администраторы в каждом лесу могут добавлять объекты из одного леса в списки управления доступом (ACL) для общих ресурсов в другом лесу. С помощью редактора списка управления доступом можно выполнять добавление или удаление объектов из одного леса в списки управления доступом для ресурсов в другом лесу. Дополнительные сведения о задании разрешений для ресурсов см. в разделе Задание разрешений для общего ресурса.
Сведения о задании ограничений проверки подлинности для внешних доменов см. в разделе Доступ к ресурсам через домены.
Маршрутизация суффиксов имен между лесами Маршрутизация суффиксов имен между лесами
Маршрутизация суффикса имен представляет собой механизм маршрутизации запросов на проверку подлинности между лесами системы Windows Server 2003, объединенными доверием лесов. Чтобы упростить администрирование запросов проверки подлинности при первоначальном создании доверия лесов, все уникальные суффиксы имен маршрутизируются по умолчанию. Уникальный суффикс имен — это суффикс имен внутри леса, такой как суффикс основного имени пользователя (UPN), суффикс имени участника службы (SPN), DNS-имени леса или имени дерева доменов, который не подчинен никакому другому суффиксу имен. Например, DNS-имя леса microsoft.com является уникальным суффиксом имен внутри леса microsoft.com.
Леса могут содержать несколько уникальных суффиксов имен, и все их дочерние суффиксы маршрутизируются неявно. В связи с этим, в оснастке «Active Directory — домены и доверие» перед суффиксами имен отображается символ звездочки (*). Например, если лес использует *.microsoft.com в качестве уникального суффикса имен, то запросы проверки подлинности для всех дочерних доменов microsoft.com (*.child.microsoft.com) будут маршрутизироваться, так как дочерние домены являются частью суффикса имен microsoft.com.
Если между двумя лесами существует доверие лесов, то суффиксы имен, не существующие в одном лесу, могут использоваться для маршрутизации запросов проверки подлинности другому лесу. При добавлении нового дочернего суффикса имен (*.child.widgets.com) к уникальному суффиксу имен (*.widgets.com) дочерний суффикс будет наследовать настройку маршрутизации уникального суффикса имен, которому он принадлежит. Новые уникальные суффиксы имен, созданные после установления доверия лесов, будут видимыми в диалоговом окне Свойства отношения доверия лесов после проверки доверия. Однако маршрутизация для новых уникальных суффиксов имен будет по умолчанию отключена. Дополнительные сведения о проверке доверия см. в разделе Проверка доверия.
При обнаружении дублирующего суффикса имен маршрутизация самого нового суффикса имен будет отключена по умолчанию. Дополнительные сведения о маршрутизации суффиксов имен см. в разделе Включение или отключение маршрутизации существующего суффикса имен. Администраторы могут использовать диалоговое окно Свойства отношения доверия лесов, чтобы вручную помешать маршрутизации в лес запросов проверки подлинности для специальных суффиксов имен.
Примечания
Не следует добавлять знак @ к суффиксу UPN или имени пользователя. При маршрутизации запросов проверки подлинности в доверенный лес все символы перед первым символом @ интерпретируются как имя пользователя, а все символы после него — как суффикс UPN.
Локальный администратор безопасности (LSA) будет блокировать маршрутизацию для любого суффикса UPN, не являющегося действительным DNS-именем. Например, добавление символа @ к суффиксу UPN приведет к ее автоматическому отключению.