Воскресенье, 24.11.2024, 03:58
Приветствую Вас Гость | RSS

Я - за павсимесную и всиоблемущюю паддершку Аброзования!

Меню сайта
Форма входа
Категории раздела
Сети [14]
Сети
Windows сервер [14]
Сервера Windows. Администрирование
Active Directory [17]
Опрос
Как вы относетесь к порнографии
Всего ответов: 783
Облако тегов
апокриф библия история история религии маска сети настройка IP-адреса НОВЫЙ ЗАВЕТ Альбион гастарбайтер Гражданин и ты Брут Митридат политическая реклама Понт воскрешение гармония Дух плоть праведная плоть канон Аид гомер Мифология моментальность дружба женщина мужчина отношение VPN dns корневой домен DNS клиент FQDN HOSTS пространство имен разрешение имен MX зона DNS корневые Мастер установки Active Directory глобальный каталог раздел домена Раздел конфигурации Раздел схемы GUID.контроллер домена.Серверы плац Внутрисайтовая репликация межсайтовая репликация лес Домен Планирование Active Directory подразделение DNS-сервера DnsCmd DomainDnsZones ForestDnsZones SUPTOOLS.MSI настройка зоны DNS область распространения зоны DNS SOA Primary Name Server Start of Authority Transfer Zone зонная передача Начальная запись зоны DNS Основной сервер DNS передача зоны DNS nslookup дерево доверие доверительные отношения ADSL DMT ISP POTS xDSL Ntds.dit Active Directory.Зоны прямого просм Netlogon SVR Sysvol _msdcs _saites _tcp _udp Dcdiag Dcpromo.log Dcpromos.log Dcpromoui.log Netdiag Ntdsutil консоль ммс панель задач оснастка авторский параметры пользовательский расширение режим консоли
AdSense
Счетчики
PR-CY.ru Каталог@Mail.ru - каталог ресурсов интернет реклама в интернете, реклама сайта
Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0

Каталог статей

Главная » Статьи » Active Directory

Доверительные отношения

Доверительные  отношения

Как мы уже знаем из предыдущих тем,  домен  является  границей  доступа  к  ресурсам  в  организации. Любой пользователь имея соответствующие разрешения  может обращается к любому общедоступному ресурсу в том же самом домене. Но как быть когда у нас на предприятии или фирме по тем или иным причинам имеются несколько доменов.  Что бы получить доступ к ресурсам которые находятся за пределами родного домена используются так называемые «доверительные отношения» службы Active Directory.

Доверительные  отношения (trusts) представляют  собой  опознавательную (узнаваемую, знакомую)  связь   между  двумя  доменами,  с  помощью  которой участники  безопасности (пользователи, компьютеры)  могут  получать  полномочия на  доступ  к  ресурсам,  расположенным  на другом домене. То есть это такая связь (такие отношения) которые позволяют пользователям одного домена аутентифицироваться без проверки  контролером другого домена.

Примечание. Под понятием аутентификации надо понимать – «кто ты такой?», которая в сети принимает форму предоставления логина и пароля. В отличие от аутентификации понятие «авторизации» это те права, которые, к примеру,  предоставлены определенному пользователю на тот или иной объект  (допустим на какой-то файл – только чтение).

Аутентификация пользователей и приложений в WindowsServer 2003 происходит по одному из двух протоколов: Kerberosv.5 и NTLANManager (NLTM). Протокол Kerberosv.5 является протоколом по умолчанием для в WindowsServer 2003, но в случаях, когда в сети есть участники, которые не поддерживают Kerberosv.5 тогда для аутентификации применяется  NLTM протокол (допустим к примеру NTServer). О протоколе Kerberos мы поговорим отдельно, а пока просто запомните что по этому протоколу в среде 2003 происходит аутентификация. Только на путайте протокол  Kerberos и протокол LDAP. Напоминаю -  протокол LDAP применяется в Active Directory  для доступа к контроллерам домена и глобальным каталогам. Как видите протоколов хватает, но о них мы поговорим отдельно, так как Kerberos довольно сложный протокол со своими «фишами» вроде так названых выдаваемых билетов и прочих штучках, но знание которых весьма желательно.

Итак вернемся к «доверительным отношениям». Когда идет речь о доверительных отношениях, надо понимать что в данном процессе участвуют два домена так названые «доверяющий» и «доверяемый», смотрите рисунок 1.

Доверительные отношения в Active Directory

Рисунок 1. 

В таблице 1 перечислены характеристики доверительных отношений.

Характеристика доверительных отношений в Fctive Directory

Таблица 1.

В WindowsServer2003 ActiveDirectoryподдерживает следующие формы доверительных отношений.

Корневое доверительное отношение (treeroottrust).  

Такие доверительные отношения устанавливаются неявно, то есть автоматически в случае, когда в лесе вводится новый корневой домен дерева. Рассмотрим пример на рисунке 2.

  Структура домена

Рисунок 2.

К примеру, мы в нашем лесе предприятия вводим новый корневой домен дерева xu.com(название от «Хвосты и Уши», а rk.comот «Рога и Копыта»). Доверительные отношения устанавливаются между доменом rk.comи доменом xu.com во время «введения» последнего в наш лес (он будет корневым доменом для дерева xu.com). Доверительные отношения этого типа связывают создаваемый (введенный) домен дерева xu.com и существующий корневой домен леса rk.com.

Такие отношения могут создаваться только между корневыми доменами двух деревьев одного леса . Данный тип коренных отношений характеризуются транзитивностью и двусторонностью.

Родительски -  дочерние доверительные отношения (parentchildtrust). 

Такого типа отношения устанавливаются при добавление в дереве нового дочернего домена. Этот тип отношений так же устанавливаются неявно, то есть автоматически (по умолчанию). Если вернутся к рисунку 2 то такие отношения будут создаваться когда в общее пространство имен, к примеру дерева xu.com добавляется домен (дочерний) africa.xu.com или при добавление домена office.xu.com. Непосредственно в момент установки дочернего домена AD автоматически создает доверительные отношения между устанавливаемым доменом и доменом родителем, в нашем случае корневым доменом дерева если брать поддомен africa.xu.com. Таким образом вводимый в состав дерева домен оказывается в доверительных отношениях со всеми остальными доменами этого дерева.

Родительски - дочерние отношения характеризуются транзитивностью и двусторонностью.

Сокращенное доверительное отношение (shortcut trust).

Данный тип отношений явно устанавливается сетевыми админами. Данный  тип отношений необходим в случаях когда нужно повысить скорость или скажем оперативность регистрации пользователей, которая допустим в случае логической удаленности  двух доменов в рамках иерархии леса или дерева значительно замедлена.

Данный тип отношений характеризуется транзитивностью

В отношении направленности то они могут быть как односторонним так и двухсторонним. какую направленность придать связи решает непосредственно сетевой администратор, исходя из существующих реалий. 

Внешние доверительные отношения (external trust).

Данный тип отношений устанавливается явно. То есть мы своими ручками это делает. Применяется в случаях когда необходимо устанавливать связи между доменами принадлежащих к различным лесам. Или в случаях между доменами Windows Server 2003 и доменом Windows NT.  Так же применяются когда необходимо установить доверительные отношения между лесами в Windows Server 2003 но когда леса вернее один из лесов или оба не находится на функциональном уровне Windows Server 2003. ( С уровнями или функциональными режимами домена или леса можете ознакомится тут)

Характеризуется одно или двухсторонними направленностью. Нетранзитивно.

Доверительные отношениями между лесами (forest trust).

Явно устанавливаются сетевым администратором между двумя корневыми доменами леса. При этом сетевой администратор так же принимает решение о том какую направленность будут иметь данные отношения. Данное отношение предусматривает возможность транзитивного доверия всех доменов одного леса всем доменам другого леса. Но тут есть маленькая фишка. На отношения устанавливаемыми между тремя и более лесами, транзитивность не распространяется. К примеру лес А доверяет лесу В, лес В доверяет лесу С, но лес А не устанавливает доверительные отношения с С, как мы привыкли рассматривать транзитивность. Но транзитивность между лесами возможна. Это происходит тогда когда все леса находятся в режиме работы Windows Server 2003.

Характеризуется одно или двухсторонней направленностью, транзитивные.

Доверительные отношения между доменом и сферой (realm trust).

Явно устанавливаются сетевым администратором между сферой не находящаяся под управлением именно Windows Kerberos v.5.  Или скажем чуть по другому, устанавливает доверительные отношения между доменом и областью Kerberos реализованный не в базе Windows. данный тип доверительных отношений может использоваться для обеспечения сквозной аутентификации на Windows и UNIX системах.  

Характеризуется одно или двухсторонней направленностью, транзитивные или нетранзитивные

Вроде бы все, если вкратце о доверительных отношениях. 

 

Категория: Active Directory | Добавил: AlterEgo25 (10.10.2010)
Просмотров: 33656 | Комментарии: 5 | Рейтинг: 4.3/7
Всего комментариев: 5
5 AlterEgo25  
2
Правду о доверие между лесами смотрите здесь

2 edgi  
0
http://sysadmins.ru/topic178164.html

1 edgi  
0
В статье написано: Но транзитивность между лесами возможна. Это происходит тогда когда все леса находятся в режиме работы Windows Server 2003.
Вот на сайте сисадмина шла дискусия и люди говорили что нельзя установить доверие между двумя лесами только между тремя можно. Так где правда?
У меня лично не получается создать доверие между 2003 лесом и 2008 r2 лесом в 2003 отсутствует выбора создания доверия транзитивное или нет. Сразу делает не транзитивное по умолчанию.

3 AlterEgo25  
1
Правда в том что между двумя лесами (учитывая то что сказано на форуме) можно установить транзитивные отношения. Именно между двумя лесами учитывая ваш вопрос....я думаю что у вас не получается по причине того (сели с DNS службами все в порядке в обоих лесах) то проверьте не только режим работы домена но и леса...и тогда у вас должно все получится....то есть и режим работы домена и режим работы леса....как правило включают только режим работы домена в Windows Server 2003 а про режим леса забывают

4 AlterEgo25  
1
Если будет время покажу как это делать в отдельной статье

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Поиск
Подписатся
Подписаться на рассылку
"Active Directory - от простого к сложному."


 
Mail.Ru
Подписатся
Подписаться на:
Active Directory от простого к сложному | RSS
Имя:
E-mail

Посетите Каталог Maillist.ru.
Maillist.ru: Active Directory от простого к сложному
Поделись с другом
Поиск
Loading
Рейтинг чатов Поисковый каталог Эхо Ру счетчик посещений
счетчик посещений

Copyright MyCorp © 2024
Используются технологии uCoz