3-2 Основи планування та адміністрування служб доступу до інформаційних ресурсів / ЛБ / Книга Active directory
.pdf
Занятие 2 Управление множеством доменов и доверительными связями 589
ш Только для данного домена (This Domain Only) Создается доверие в домене, выбранном на шаге 2. Администратор с разрешением на создание доверия в другом домене должен повторить этот процесс для завершения доверительной связи.
Стороны отношения доверия |
т |
Если у вас имеются соответствующие разрешения в обоих доменах, вы |
|
можете создать обе стороны отношения доверия |
|
Для использования доверия необходимо создать обе стороны отношен в доверия. Например, если создается одностороннее еу-одядее доверие в локальном домене, необходимо текла создать одностороннее исксдяшее доверие в указанном домене до начала трефика проверки подлинности через доверие
Создал» отношение доверия для; |
|
|
. (* |
Только для данного домена |
|
|
Создание отношения доверия в локальном домене. |
|
С |
Для данного и указанного дсменов |
|
|
Создание отношения доверия в локальном дсмене и в указанном домене |
|
|
Необходимо иметь право нэ создание отношения доверия в >кззамном |
|
|
долине |
|
|
< Назад | Далее > J |
Отмена j |
Рис. 12-9. Создание сторон доверия
Следующие шаги зависят от выбора параметров (шаги 8 и 10).
•Если вы выбрали доверие Только для данного домена (This Domain Only), введите пароль доверия. Пароль доверия вводится администраторами на каждой стороне для установления доверия. Этот пароль должен быть уникальным и использоваться только для создания доверия. Пароль, примененный для создания доверия, немедленно изменяется доменами.
11.В случае создания исходящего доверия потребуется указать один из следующих параметров.
•Выборочная проверка подлинности (Selective Authentication).
•Проверка подлинности в домене (Domain-Wide Authentication) или Проверка подлинности в лесу (Forest-Wide Authentication) в зависимости от создания внешнего доверия или доверия леса.
Параметры проверки подлинности описаны в подразделе «Безопасность доверительных отношений» далее в этой главе.
12.Мастер создания нового доверия перечислит выбранные параметры на странице Выбор доверия завершен (Trust Selections Complete). Щелкните Далее (Next). Мастер создаст новое доверие.
13.Когда откроется страница Создание доверия завершено (Trust Creation Complete), просмотрите параметры и щелкните Далее (Next).
Вам будет предоставлена возможность подтвердить доверие. Эту опцию можно использовать при создании обеих сторон доверия или завершении второй стороны доверия.
I 5 9 0 Домены и леса Глава 12
Если в шаге 8 выбрать параметр Д л я данного и указанного доменов (Both This Domain And The Specified Domain), процесс будет завершен . Если же на шаге 8 выбрать параметр Только для данного домена (This Domain Only), доверительная связь не будет готова, пока администратор в другом домене не завершит этот процесс.
•Если установленная доверительная связь является односторонним исходящим доверием, администратор в другом домене должен создать одностороннее входящее доверие.
•Если установленная доверительная связь является односторонним входящим доверием, администратор в другом домене д о л ж е н создать одностороннее исходящее доверие.
•Если установленная доверительная связь является двухсторонним доверием, администратор в другом домене должен создать двухстороннее доверие.
К СВЕДЕНИЮ Процедуры создания доверия
Детальное описание процедур для создания каждого типа доверия можно найти по адресу http://technet2.microsoft.com/WindowsServer/en/library/f82e82/c-0700-4278- a166-4b8ab47b36dbl033.mspx.
Прямое доверие
В предыдущем подразделе мы в ы п о л н и л и 11 шагов д л я выдачи сеансового билета клиенту с целью получения доступа к ресурсам в еще одном домене леса. В ходе этого процесса выдаются реферралы на домены на пути доверия между доменом пользователя и доменом общей папки . Когда пользователь из одного домена входит на компьютер в еще одном домене, запрос проверки подлинности также должен пройти путь доверия. Это может повлиять на производительность, а если в домене на пути доверия недоступен контроллер домена, то клиент не пройдет проверку подлинности и не получит доступ к ресурсам.
Эти проблемы решаются с помощью прямого доверия, когда создается прямая доверенная связь между дочерними доменами на пути доверия (рис. 12-10).
asia.tailspintoys.com |
europe.tailspintoys.com |
usa.wingtiptoys.com |
|
Рис. 12-10. Прямые доверия
I 5 9 2 |
Домены и леса |
Глава 12 |
На рис. 12-11 показана односторонняя доверительная связь между доменами sales.worldwideimporters.com и europe.tailspintoys.com. Д о м е н Europe доверяет домену Sales, так что пользователи в домене Sales могут входить на компьютеры в домене Europe или подключаться к ресурсам в домене Europe.
На этом же рисунке продемонстрировано двухстороннее доверие между доменами worldwideimporters.com и asia.tailspintoys.com. Пользователи в каждом домене могут получать доступ к ресурсам в другом домене. Технически все внешние доверительные отношения я в л я ю т с я нетранзитивными и односторонними. При создании двухстороннего внешнего доверия иа самом деле создаются две внешние односторонние связи в каждом направлении .
При создании исходящей внешней связи в Active Directory создается внешний объект для каждого принципала безопасности в доверенном домене. Эти пользователи, группы и компьютеры затем можно добавлять в локальные группы доменов или списки ACL в доверяющем домене.
Чтобы повысить уровень безопасности внешней доверительной связи, следует выбрать параметр Выборочная проверка подлинности (Selective Authen - tication) на странице Уровень проверки п о д л и н н о с т и и с х о д я щ е г о доверия (Outgoing Trust Authentication Level) мастера создания доверия (New Trust Wizard). Кроме того, по умолчанию во всех внешних доверительных связях включен доменный карантин, который также называется фильтрацией SID. Эти типы конфигурации описываются в подразделе «Безопасность доверительных отношений» далее в этой главе.
Доверие сферы
Для выполнения межплатформенных операций со с л у ж б а м и безопасности на основе других решений реализации Kerberos v5 рекомендуется установить доверие сферы между доменом и сферой Kerberos v5 в U N I X . Доверительные отношения сферы являются односторонними, однако для создания двухсторонней связи можно установить одностороннее доверие в каждом направлении. По умолчанию доверительные отношения сферы является нетраизитивными .
Если сфера Kerberos v5 не на платформе Windows доверяет вашему домену, она доверяет всем принципалам безопасности в домене. Если ваш домен доверяет сфере Kerberos v5 не на платформе Windows, пользователям в сфере будет предоставлен доступ к ресурсам в домене, однако этот процесс выполняется не напрямую. Когда пользователи проходят проверку подлинности в сфере Kerberos не на платформе Windows, билеты Kerberos содержат не все данные авторизации, необходимые в Windows. Поэтому используется система сопоставления учетных записей. Принципалы безопасности, создаваемые в домене Windows, сопоставляются с внешним объектом идентификации Kerberos в доверенной сфере Kerberos не на платформе Windows. Домен Windows задействует только эти учетные записи прокси для оценки доступа к объектам домена с дескрипторами безопасности. Все учетные записи прокси в Windows можно использовать в группах и списках ACL для управления доступом от имени принципала безопасности не на платформе Windows. Д л я управления сопоставлением учетных записей применяется оснастка Active Directory — пользователи и компьютеры (Active Directory Users And Computers).
Занятие 2 |
Управление множеством доменов и доверительными связями |
5 9 3 |
|
|
Доверительные отношения между лесами
При необходимости в совместном сотрудничестве между двумя отдельными организациями с отдельными лесами можно реализовать доверительные отношения леса. Д о в е р и е лесов может быть односторонним и двухсторонним и представляет транзитивную доверительную связь между корневыми доменами двух лесов. На рис. 12-12 показан пример доверия между лесами tailspintoys. com и worldwideimporters.com.
Одна д о в е р и т е л ь н а я связь позволяет выполнять проверку подлинности пользователя в л ю б о м домене л ю б ы м другим доменом в обоих лесах, если доверие двухстороннее. Если доверие леса — одностороннее, любой пользователь в любом домене доверенного леса сможет пройти проверку подлинности на компьютерах в доверяющем лесу. Доверительные отношения лесов значительно проще установить, поддерживать и администрировать, чем отдельные доверительные связи между всеми доменами в обоих лесах. В частности, до-
верительные с в я з и лесов удобно |
использовать в |
сценариях сотрудничества |
между о р г а н и з а ц и я м и , с л и я н и я и |
приобретения |
компаний, а также внутри |
одной организации с несколькими лесами с целью изоляции данных и служб Active Directory.
Лес |
Лес |
tailspintoys.com |
worldwideiniporters.com |
Рис. 12-12. Доверие между лесами |
|
При установлении доверительной связи леса по умолчанию включается доменный карантин (так называемая фильтрация SID). Доменный карантин описан в подразделе «Безопасность доверительных отношений» далее в этой главе. Для леса можно установить одностороннее входящее или исходящее либо двухстороннее доверие. Как мы уже говорили, доверие леса является транзитивным, то есть все домены В доверяющем лесу доверяют всем доменам в доверенном
I 5 9 4 |
Домены и леса |
Глава 12 |
лесу. Однако сами доверительные связи лесов не я в л я ю т с я транзитивными . Например, если лес tailspintoys.com доверяет лесу worldwideimporters.com, а лес worldwideimporters.com — лесу northwindtraders.com, эти две доверительные связи ие позволяют лесу tailspintoys.com доверять лесу northwindtraders . com . Чтобы эти леса доверяли друг другу, необходимо создать доверие конкретно между ними.
Для реализации доверия лес должен работать в р е ж и м е не н и ж е Windows Server 2003. Кроме того, для поддержки д о в е р и я лесов необходима особая инфраструктура DNS.
К СВЕДЕНИЮ |
Требования DNS к доверию лесов |
Более подробную информацию о требованиях DNS к доверию лесов можно найти по адресу http://technet2.microsoft.com/WindowsServer/en/libraiy/f5c70774-25cd-4481- 8b7a-3d65c86e69M1033.mspx.
Администрирование доверительных отношений
Если вы подозреваете, что доверительная связь не функционирует, проверьте доверие между любыми двумя доменами Windows (следует учесть, что проверить доверие к сфере Kerberos v5 вы не сможете). Ч т о б ы проверить доверительную связь, выполните такие действия.
1.Откройте оснастку Active Directory — домены и доверие (Active Directory Domains And Trusts).
2. В дереве консоли |
щелкните правой к н о п к о й м ы ш и домен, с о д е р ж а щ и й |
доверие, которое |
вы хотите проверить, и в ы п о л н и т е к о м а н д у Свойства |
(Properties). |
|
3. Перейдите на вкладку Доверия (Trusts).
4.Выберите доверие для проверки.
5.Щелкните кнопку Свойства (Properties).
6.Щелкните кнопку Проверка (Validate).
7.Выполните одну из следующих операций, а затем щелкните Да (Yes).
•Выберите опцию Да, проверить это входящее доверие (Yes, Validate The Incoming Trust). Введите учетные данные членов группы Администраторы домена (Domain Admins) или Администраторы предприятия (Enterprise Admins) во втором домене.
•Выберите опцию Нет, не проверять это входящее доверие (No, Do Not Validate The Incoming Trust). Эту процедуру рекомендуется повторить во втором домене.
Вы также можете проверить доверие в командной строке с помощью следующей команды:
netdom trust Имя_доверяющего_домена /domain•.Иня_доверяемого_домена /verify Иногда созданные тесты необходимо удалять вручную. Делается это сле-
дующим образом.
1. Откройте оснастку Active Directory — домены и доверие (Active Directory Domains And Trusts).
Занятие 2 |
Управление множеством доменов и доверительными связями |
5 9 5 |
2. В дереве консоли щелкните правой кнопкой мыши домен, содержащий доверие, которое вы хотите проверить, и выполните команду Свойства (Properties).
3. Перейдите на вкладку Д о в е р и я (Trusts).
4. Выберите доверие, которое вы хотите удалить. 5. Щ е л к н и т е к н о п к у Удалить (Remove).
6. Выполните одно из следующих действий и щелкните кнопку Да (Yes).
•Выберите опцию Да, удалить отношение доверия только в локальном
и другом домеиах (Yes, Remove T h e Trust From Both The Local Domain And T h e O t h e r Domain) . Введите учетные данные членов группы Администраторы домена (Domain Admins) или Администраторы предприятия (Enterprise Admins) во втором домене.
• Выберите о п ц и ю Нет, удалить отношение доверия только в локальном домене (No, Remove T h e Trust From The Local Domain Only). Эту процедуру рекомендуется повторить во втором домене.
7. Д л я удаления вручную созданного доверия с помощью командной строки выполните команду Netdom.exe со следующим синтаксисом:
netdom t r u s t Имя_доверяющего_домена /domain:<fMfl_доверяемого_домена /remove [ / f o r c e ] /UserO:Пользователь /PasswordO:»
Параметр UserD представляет пользователя с учетными данными в группе Администраторы домена (Domain Admins) или Администраторы предприятия (Enterprise Admins) доверенного домена. Параметр PasswordD:* указывает команде Netdom.exe открыть окно ввода пароля этой учетной записи. При удале-
нии доверия |
с ф е р ы необходимо использовать переключатель /force. |
ПРИМЕЧАНИЕ |
Инструменты командной строки для управления |
и тестирования доверительных отношений
Для управления и тестирования доверительных отношений используется диспетчер доменов Windows (Windows Domain Manager), утилита Netdom.exe и другие средства командной строки. Дополнительная информация содержится по адресу http://technet2.microsoft.com/mndowsserver/en/library/108124dd-31b1-4c2c-9421- 6adbc1ebceca1033.mspx?mfr=true.
- Безопасность доверительных отношений
i При настройке доверия вашего домена к другому домену пользователи в доверенном домене получают возможность получить доступ к ресурсам вашего домена. В следующих разделах описаны компоненты, связанные с безопасностыо ресурсов доверяющего домена.
П р о ш е д ш и е п р о в е р к у пользователи
Сама по себе доверительная связь не предоставляет доступ к ресурсам. Тем ' не менее есть вероятность, что после создания доверия пользователи в доверенном домене сразу же получат доступ ко многим ресурсам вашего домена. Причина в том, что безопасность многих ресурсов обеспечивается с помощью списков ACL, которые предоставляют разрешения группе Прошедшие проверку
[ (Authenticated Users).
I 596 |
Домены и леса |
Глава 12 |
|
Членство в локальных группах д о м е н о в |
|
|
|
Как мы говорили в главе 4, для управления доступом к ресурсу рекомендуется |
|
||
назначать разрешения локальной группе домена. Затем в локальную группу |
|
||
домена можно вложить пользователей и группы из вашего домена, предоста- |
|
||
вив им доступ к ресурсу. В локальные группы безопасности в домене также |
|
||
можно включать пользователей и глобальные группы из доверенных доменов. |
|
||
Поэтому самый управляемый способ назначения р а з р е ш е н и й доступа пользо- |
|
||
вателям в доверенном домене состоит в добавлении этих пользователей или |
|
||
их глобальных групп в локальную группу вашего домена. |
|
|
|
Списки контроля доступа |
|
|
|
Пользователей и глобальные группы из доверенного домена можно непосредс- |
|
||
твенно добавлять в списки ACL ресурсов доверяющего домена. Этот способ не |
|
||
настолько управляем, как предыдущий — с применением л о к а л ь н о й группы |
|
||
домена, однако его также можно использовать. |
|
|
|
Транзитивность |
|
|
|
По умолчанию создаваемое доверие сферы не является транзитивным . Если |
|
||
сделать его транзитивным, пользователи из доменов и сфер, доверенных для |
|
||
сферы Kerberos v5, получат потенциальную возможность доступа к ресурсам |
|
||
в вашем домене. Рекомендуется применять н е т р а н з и т и в н ы е доверительные |
|
||
отношения, если транзитивность доверия с ф е р ы не включена в требования |
|
||
бизнеса. |
|
|
|
Доменный карантин |
|
|
|
По умолчанию доменный карантин, также называемый фильтрацией SID, вклю- |
|
||
чен для всех внешних доверительных связей и д о в е р и т е л ь н ы х |
отношений |
|
|
между лесами. Проходя проверку подлинности в доверенном домене, поль- |
|
||
зователь предъявляет данные авторизации с S I D - и д е н т и ф и к а т о р о м учетной |
|
||
записи пользователя в группах, к которым он принадлежит. Кроме того, данные |
|
||
авторизации пользователя содержат идентификаторы безопасности из других |
|
||
атрибутов пользователя и его групп. |
|
|
|
Некоторые SID-идентификаторы, предоставляемые пользователем из дове- |
|
||
ренного домена, могут быть созданы не в доверенном домене. Например, если |
|
||
пользователь мигрировал из одного домена в другой, мигрировавшей учетной |
|
||
записи присваивается новый SID - идентификатор . Поэтому мигрировавшая |
|
||
учетная запись потеряет доступ ко всем ресурсам, который был назначен SID- |
|
||
идентификатору старой учетной записи пользователя. Чтобы сохранить доступ |
|
||
к таким ресурсам, администратор, выполняющий миграцию, может включить в |
|
||
атрибут sIDHistory мигрировавшей учетной записи пользователя |
SID-иденти- |
|
|
фикатор старой учетной записи. Когда пользователь попытается подключиться |
|
||
к ресурсу, для доступа будет авторизован исходный SID-идентификатор в атри- |
|
||
буте |
sIDHistory. |
|
|
В сценарии с доверенным доменом злонамеренный администратор может |
|
||
использовать административные привилегии в доверенном домене для загрузки |
| |
||
в атрибут sIDHistory пользователя SID-идеитификаторов привилегированных |
1 |
||
Занятие 2 |
Управление множеством доменов и доверительными связями |
5 9 7 |
учетных записей в домене. После этого пользователь получит несоответствующие уровни доступа к ресурсам в домене.
Карантин домена решает эту проблему, позволяя доверяющему домену фильтровать S I D - и д е н т и ф и к а т о р ы из доверенного домена, которые не являются основными SID - идентификаторами принципалов безопасности. Каждый SID - идентификатор содержит SID домена, так что когда пользователь из доверенного домена представляет список SID-идентификаторов пользователя и его групп, в процессе фильтрации SID домен сбрасывает все SID-идентификаторы без SID доверенного домена.
Карантин домена по умолчанию включен для всех исходящих доверительных связей с в н е ш н и м и доменами и лесами. Его следует отключать только в следующих случаях.
• |
Д л я а д м и н и с т р а т о р о в в доверенном домене необходим крайне высокий |
|
|
уровень конфиденциальности . |
|
• |
Пользователи и л и |
группы мигрировали в доверенный домен со своими |
|
ж у р н а л а м и SID, и |
этим пользователям и группам нужно предоставить |
разрешения доступа к ресурсам в доверяющем домене на основе атрибута sIDHistory.
Чтобы отключить карантин домена, введите следующую команду: netdom trust Имя_доверящего_домена /domain:Имя_доверенного_домена /quarantine:no Чтобы вновь включить карантин домена, введите такую команду:
netdom trust Имя_доверяющего_домена /domain:Имя_доверенного_донена /quarantine:yes
СОВЕТ К ЭКЗАМЕНУ
На сертификационном экзамене 70-640 могут использоваться оба термина: карантин домена и фильтрация SID. Помните, что эта процедура гарантирует, что пользователи из доверенного домена авторизуются только с помощью SID-идентификаторов из доверенного домена. Результат карантина домена состоит в том, что доверяющий домен игнорирует SID-идентификаторы в атрибуте sIDHistory, который, как правило, содержит SID-идентификаторы учетных записей из домена миграции.
Выборочная проверка подлинности
При создании внешнего доверия или доверия между лесами можно контролировать область проверки подлинности доверенных принципалов безопасности. Для внешней доверительной связи или доверия между лесами можно использовать два режима проверки подлинности:
•выборочная проверка подлинности;
•проверка подлинности в домене (для внешнего доверия) или проверка подлинности в лесу (для доверия лесов).
Если выбрать проверку подлинности в домене или лесу, все доверенные пользователи смогут проходить проверку подлинности, чтобы получить доступ к службам на всех компьютерах в доверяющем домене. Поэтому доверенные пользователи могут получать разрешения доступа к ресурсам во всем доверяющем домене. При Использовании этого режима проверки подлинности