Транзитивное доверительное отношение




ЛАБОРАТОРНАЯ РАБОТА #2

Windows 2000 Server

 

ЦЕЛЬ РАБОТЫ:

Ознакомиться с процедурой установления доверительных отношений между доменами.

 

ТЕОРЕТИЧЕСКАЯ ЧАСТЬ:

Доверительные отношения доменов

Доверительным отношением домена называется отношение, установленное между двумя доменами, позволяющее пользователям одного домена проходить проверку подлинности с помощью контроллера домена, принадлежащего другому домену. Все доверительные отношения включают в себя только два домена: домен-доверитель и доверенный домен.

 

Доверительные отношения обозначены стрелкой (указывающей на доверенный домен).

Доверительные отношения домена подразделяются на следующие типы:

· односторонние;

· двусторонние;

· транзитивные;

· нетранзитивные.

 

Одностороннее доверительное отношение

Односторонним доверительным отношением является отдельное доверительное отношение, когда домен A доверяет домену B. Все односторонние доверительные отношения являются нетранзитивными, и все нетранзитивные являются односторонними. Запросы на проверку подлинности могут проходить только от домена-доверителя к доверенному домену. Это означает, что если домен A имеет одностороннее доверительное отношение с доменом B и домен B имеет одностороннее доверительное отношение с доменом C, домен A не имеет доверительного отношения с доменом C.

Так как все домены Windows 2000 в составе леса связаны транзитивными доверительными отношениями, создание односторонних доверительных отношений между доменами Windows 2000 в том же лесе невозможно.

Двустороннее доверительное отношение

Все доверительные отношения доменов в составе леса Windows 2000 являются двусторонними и транзитивными.

При создании нового дочернего домена, двустороннее транзитивное доверительное отношение создается автоматически между дочерним и родительским доменами. При двустороннем доверительном отношении домен A доверяет домену B и наоборот. Это означает, что запросы на проверку подлинности проходят между двумя доменами в обоих направлениях.

Для создания нетранзитивных двусторонних доверительных отношений необходимо создать два односторонних доверительных отношения между данными доменами.

Транзитивное доверительное отношение

Все доверительные отношения доменов в составе леса Windows 2000 являются транзитивными. Транзитивные доверительные отношения всегда являются двусторонними: оба домена доверяют друг другу.

Транзитивное доверительное отношение не ограничено двумя доменами, входящими в него. Транзитивное двустороннее доверительное отношение создается неявно (автоматически) между родительским и дочерним доменами каждый раз при создании нового дочернего домена. Таким образом, транзитивные доверительные отношения перемещаются вверх по дереву доменов по мере его формирования, создавая транзитивные доверительные отношения между всеми доменами в составе дерева доменов.

Каждый раз при создании нового дерева доменов в составе леса, двустороннее транзитивное доверительное отношение создается между корневым доменом леса и новым доменом (корнем нового дерева доменов). Если не добавляется дочерних доменов к новому домену, путь доверительных отношений существует между новым корневым доменом и корневым доменом леса. В случае, когда дочерние домены добавляются к новому домену (создавая таким образом дерево доменов), доверительное отношение перемещается вверх через дерево доменов к корневому домену дерева доменов, расширяя таким образом исходный путь доверительных отношений, созданный между корневым доменом и корневым доменом леса. Независимо от того, является добавляемый в состав леса новый домен отдельным корневым доменом (не имеющим дочерних доменов), либо деревом доменов, пути доверительных отношений расширяются через корневой домен леса ко всем другим корневым доменам в составе леса. Таким образом, транзитивные доверительные отношения перемещаются через все домены в составе леса. Запросы на проверку подлинности следуют по этим путям доверительных отношений, предоставляя возможность учетным записям любого домена в составе леса проходить проверку подлинности в любом домене леса. В рамках отдельного входа в систему, данные учетные записи, имеющие необходимые разрешения, потенциально имеют доступ к ресурсам в любом домене в составе леса.

Так как домен 1 имеет транзитивное доверительное отношение с доменом 2 и домен 2 имеет транзитивное доверительное отношение с доменом 3, пользователи домена 3 (при условии наличия у них соответствующих разрешений) имеют доступ к ресурсам в домене 1. В силу того что домен 1 имеет транзитивное доверительное отношение с доменом A и остальные домены в дереве доменов домена A имеют транзитивные доверительные отношения с доменом A, пользователи домена B (при условии наличия у них соответствующих разрешений) имеют доступ к ресурсам домена 3.

Можно также явно (вручную) создать транзитивные доверительные отношения между доменами Windows 2000 в составе того же дерева доменов или леса. Данные доверительные отношения могут использоваться для сокращения доверительных отношений в больших и сложных деревьях доменов или лесах.



Поделиться:




Поиск по сайту

©2015-2024 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2016-04-27 Нарушение авторских прав и Нарушение персональных данных
 

Поиск по сайту:

Читайте также:

Деталирование сборочного чертежа

Когда производственнику особенно важно наличие гибких производственных мощностей?

Собственные движения и пространственные скорости звезд

Тема 11. Банковские риски и способы их оценки

Опросник «Активность повседневной жизни»

Интересно:

Как правильно принимать препараты кальция?

Что такое концерт, специфика, классификация

Роль энергетики в жизни и развитии общества

Что такое современная опера

Обратная связь