Megértése bizalmi kapcsolatok, hálózati magazin

Sok vállalkozás már a saját hálózatban több Windows tartományok. Bízva kapcsolat közöttük néha nagyon nehéz, különösen abban az esetben, Active Directory hierarchikus struktúrákat. Azt fogja mondani, hogy a működését a bizalmi viszony, a módszerek azok létrehozását, valamint, hogy milyen alapvető információkat szükséges erre a célra.

Informatikai infrastruktúra a vállalat

A legtöbb adminisztrátorok, a folyamatot, amelynek célja bizalmi kapcsolatok még némi megszokni, mint külön fogalom egy kicsit zavaros. Ennek eredményeként a műszakilag Windows tartomány kapcsolat egymással több „titokzatos”, mint amilyen valójában (lásd. 1. ábra). Ezért először megvitatják az alapvető fogalmakat.

Az Active Directory, két különböző típusú bizalmi kapcsolatok „egyirányú” és a „kétirányú”. Az első esetben, egy domain bízik a másik, de nem fordítva. Domain tagok 1 elérheti az erőforrás-tartomány 2, de a domain user 2 nem tudja elérni a tartományi erőforrásokat 1. Természetesen lehetőség van, és a fordított eset. További lehetőségek bízva kapcsolat „kimenő” és a „bejövő”. Ha a kimenő bízik Domain 1 bízik Domain 2, t. E. 2 domain felhasználó hozzáférhet a tartományi erőforrásokat 1.

Ebben a folyamatban a domaint, amely bizalmi kapcsolatok épülnek, a megbízó tartomány (megbízó tartomány). A tartomány a bejövő bizalmi kapcsolat - a megbízható tartomány (Trusted Domain), létrehozza a felhasználói fiókokat jogokat a megbízó tartomány.

A Windows NT 4.0 is lehetséges volt létrehozni egy bizalmi viszonyt, de nem tranzitív. Ha a Windows NT 4.0 létre közötti bizalmi kapcsolat domének A és B, valamint a tartományok között a B és C, ez nem jelenti azt, hogy a domain egy bizalmi domain automatikusan C vagy éppen ellenkezőleg, a domain C - domén A. Ez a kapcsolat kellett telepíteni manuálisan . Az Active Directory másképpen. Domains társítható gyakorlatilag nincs korlátozás az egész területen, aldomain és fák automatikus létrehozása bizalmi kapcsolat közöttük. Az Active Directory, mindegyik domén bízik más domain, ha ez része az azonos erdőben. Létrehozza a bizalmi kapcsolatokat manuálisan is lehetséges, de szükséges, ez már nem (a legfontosabb mondat: nyírt bizalmi kapcsolatok).

Egy másik erdőben van egy bizonyos algoritmusok: a bizalmi kapcsolat automatikusan létrejön a fentebb és alább fekvésű területeken. Microsoft utal ez a stílus a „beosztott viszony a bizalom.” Ezen túlmenően, a bizalmi kapcsolat automatikusan létrejön a gyökérdomainen egyes fák. Ugyanakkor a bizalmi kapcsolat az al-domain a különböző fák nem léteznek. Bíznak egymásnak keresztül tranzitív bízik (lásd. 2. ábra). Közötti bizalmi kapcsolat gyökérdomainen különböző erdei úgynevezett „bizalmi viszonyok között az erdők» (Forest Trust).

Ha több olyan fák az erdőn ez különösen fontos az utat bizalmi kapcsolat. Mivel a bizalmi kapcsolat az al-domain a különböző fák nem jönnek létre, az optimalizálás hitelesítés szükséges lehet a forrásokhoz való hozzáférés. Amikor megpróbál hozzáférni az adatokhoz az al-domain a különböző fák, a hitelesítést kell menni egészen a root domain a saját fa, majd egy másik fát a root domain, és végül az alárendelt tartományba. manuálisan létrehozni egy bizalmi kapcsolat a két al-domének felgyorsítja ezt a folyamatot.

Vagyonkezelési végzi egy további modult (Snap-in) «Active Directory tartományok és bizalmi kapcsolatot.” Ha hívják, hogy a tulajdonságok egy domain, megtalálja az ő bizalmát, és állítsa be az újakat a megfelelő lapra. Ha azt szeretnénk, hogy hozzon létre egy bizalmi kapcsolat a külső tartomány, először meg kell győződnie arról, hogy a nevünket domének között végezzük hiba nélkül. Csak ha ellátva a stabil és megbízható névfeloldás, beállíthat egy bizalmi kapcsolat. Itt hasznos lesz az optimális infrastruktúra DNS / WINS szerver. A tény az, hogy ha azt akarjuk, hogy hozzon létre egy bizalmi kapcsolatot a domain Windows NT 4.0, a WINS szerver jobban megfelel, mint a DNS. Elvileg a kapcsolatot a Windows NT 4.0 és az Active Directory tartomány lehet telepíteni anélkül, hogy a WINS, de instabil lesz, és nehéz megvalósítani.

Létrehozásához bizalmi kapcsolat egy kiegészítő modul «Active Directory tartományok és bizalmi kapcsolatot” ne okozzon tulajdonságait domain, amelyekből ki kell jönni. A lap „bizalmi kapcsolat” kell kattintani az „új bizalmi kapcsolat.” A Windows elindítja az asszisztens. A második oldalon megjeleníti a domain nevet, ami jön létre megbízhatósági kapcsolat. Ha ez egy Active Directory tartomány, akkor kell használni a DNS név, míg kapcsolódni a Windows NT 4.0 domain, a legjobb választás lesz a NetBIOS nevet. Ezután Assistant ellenőrzi, hogy a kapcsolat a tartomány és legyen-e egy bizalmi viszonyt lehet egyirányú vagy kétirányú (lásd. 3. ábra).

Ha a kétirányú kommunikációt a felhasználók minden tartományban lehet hitelesíteni egy másik domain hozzáférés érdekében. Ha a „Egyirányú: bejövő” megállapította, hogy a domain megbízható,
t. e. a domain felhasználó lehet hitelesíteni egy másik domain és hozzáférhet annak erőforrásait. A változat „Egyirányú: kimenő” másik domain felhasználók bejelentkezhetnek, de a felhasználók a domaint a másik - nem.

Ezután a hitelesítés tartományi bizalmi kapcsolatokat. A legtöbb rendszergazdák használja az „Domain szintű hitelesítést.” Ebben az esetben egy domain felhasználó hozzáférhet a források egy másik csoportos tagság vagy kifejezett engedélyével. Ha a kiválasztott opció „Szelektív hitelesítés” az egyes kiszolgálón, amelyhez hozzáférhetnek másik domain felhasználók a helyi biztonsági beállítások és a szabályok aktiválható opció „hitelesíteni”. Ez a beállítás növeli a biztonságot, de ugyanakkor nehezíti az a szerkezet a forgalmazási jogokat. másik domain felhasználók automatikusan megtagadják az egyes szerverek a vállalat.

Most meg kell szakítani az elutasítás minden szerver, majd állítson be egy jelszót a bizalmi kapcsolat, ami később kell ellenőrizni és megállapítani a bizalom a másik irányba. A következő ablakban, válassza ki, hogy a bizalmi kapcsolatot ellenőrizni. Amikor létrehoz egy bizalmi kapcsolat a Windows NT 4.0-tartomány, először telepíteni kell azt a tartományt. A felhasználók kap a forrásokhoz való hozzáférés csak annak ellenőrzése után a bizalmas kapcsolatok aktív. Ha létrehozását bizalmi kapcsolatot nem sikerül, akkor ez általában probléma miatt névfeloldásban vagy amelynek jogait.

SID szűrés a bizalmi kapcsolatot

Azonban, ha aktiválja a szűrő SID is megtörténhet, hogy figyelmen kívül fogja hagyni a történelem, a felhasználó SID, hogy ez más területeken, mint a migráció eredményeképpen. Aztán ott vannak problémák hitelesítés források, így SID szűrő nem mindig lehet használni. Ha a szűrőt használnak, hogy megerősítse a Windows NT 4.0 bizalmi kapcsolat, van egy probléma, ritkábban fordulnak elő, mint az építőiparban külső bizalmi kapcsolat a domain Active Directory. Ha az univerzális csoportot a Active Directory megbízható tartomány kiadott engedélyt a megbízó tartomány forrásokat meg kell győződnie arról, hogy a csoport jött létre, éppen a megbízható tartomány, és semmilyen más Active Directory tartományba. Egyébként ez nem tartalmazza a megbízható tartomány SID, és SID szűrő nem engedi a hozzáférést a megbízó tartomány források.

Trust kapcsolatok domének NT 4.0

SID szűrés újra aktiválódik egy nagyon egyszerű módon. Option / karantén kell állítani: yes: Netdom bizalom / domain: / karanténba: igen / userD: / passwordd.

Néha problémák vannak velünk, tanovlenii bizalmon alapuló kapcsolatot. Ennek az az oka, hogy - a téves nevünket, biztonságos útválasztók között különböző alhálózatok vagy hibák a WINS kiszolgálón. Ha nem jön létre a bizalmi kapcsolat a két tartományvezérlő gyakran segít létre lmhosts fájl mindkét kiszolgálón. Ez a fájl Windowssystem32driversetc mappában. átnevezni kívánt fájlt a lmhosts kiterjesztés nélküli elismerését biztosító nevek. A megadott fájl beállított domain felbontású, így a DNS vagy WINS szerveren kimarad. Ehhez adjuk hozzá a következő sorokat a fájl:

#PRE #dom:
"