ЛАБОРАТОРНАЯ РАБОТА #2
Windows 2000 Server
ЦЕЛЬ РАБОТЫ:
Ознакомиться с процедурой установления доверительных отношений между доменами.
ТЕОРЕТИЧЕСКАЯ ЧАСТЬ:
Доверительные отношения доменов
Доверительным отношением домена называется отношение, установленное между двумя доменами, позволяющее пользователям одного домена проходить проверку подлинности с помощью контроллера домена, принадлежащего другому домену. Все доверительные отношения включают в себя только два домена: домен-доверитель и доверенный домен.
Доверительные отношения обозначены стрелкой (указывающей на доверенный домен).
Доверительные отношения домена подразделяются на следующие типы:
· односторонние;
· двусторонние;
· транзитивные;
· нетранзитивные.
Одностороннее доверительное отношение
Односторонним доверительным отношением является отдельное доверительное отношение, когда домен A доверяет домену B. Все односторонние доверительные отношения являются нетранзитивными, и все нетранзитивные являются односторонними. Запросы на проверку подлинности могут проходить только от домена-доверителя к доверенному домену. Это означает, что если домен A имеет одностороннее доверительное отношение с доменом B и домен B имеет одностороннее доверительное отношение с доменом C, домен A не имеет доверительного отношения с доменом C.
Так как все домены Windows 2000 в составе леса связаны транзитивными доверительными отношениями, создание односторонних доверительных отношений между доменами Windows 2000 в том же лесе невозможно.
Двустороннее доверительное отношение
Все доверительные отношения доменов в составе леса Windows 2000 являются двусторонними и транзитивными.
При создании нового дочернего домена, двустороннее транзитивное доверительное отношение создается автоматически между дочерним и родительским доменами. При двустороннем доверительном отношении домен A доверяет домену B и наоборот. Это означает, что запросы на проверку подлинности проходят между двумя доменами в обоих направлениях.
Для создания нетранзитивных двусторонних доверительных отношений необходимо создать два односторонних доверительных отношения между данными доменами.
Транзитивное доверительное отношение
Все доверительные отношения доменов в составе леса Windows 2000 являются транзитивными. Транзитивные доверительные отношения всегда являются двусторонними: оба домена доверяют друг другу.
Транзитивное доверительное отношение не ограничено двумя доменами, входящими в него. Транзитивное двустороннее доверительное отношение создается неявно (автоматически) между родительским и дочерним доменами каждый раз при создании нового дочернего домена. Таким образом, транзитивные доверительные отношения перемещаются вверх по дереву доменов по мере его формирования, создавая транзитивные доверительные отношения между всеми доменами в составе дерева доменов.
Каждый раз при создании нового дерева доменов в составе леса, двустороннее транзитивное доверительное отношение создается между корневым доменом леса и новым доменом (корнем нового дерева доменов). Если не добавляется дочерних доменов к новому домену, путь доверительных отношений существует между новым корневым доменом и корневым доменом леса. В случае, когда дочерние домены добавляются к новому домену (создавая таким образом дерево доменов), доверительное отношение перемещается вверх через дерево доменов к корневому домену дерева доменов, расширяя таким образом исходный путь доверительных отношений, созданный между корневым доменом и корневым доменом леса. Независимо от того, является добавляемый в состав леса новый домен отдельным корневым доменом (не имеющим дочерних доменов), либо деревом доменов, пути доверительных отношений расширяются через корневой домен леса ко всем другим корневым доменам в составе леса. Таким образом, транзитивные доверительные отношения перемещаются через все домены в составе леса. Запросы на проверку подлинности следуют по этим путям доверительных отношений, предоставляя возможность учетным записям любого домена в составе леса проходить проверку подлинности в любом домене леса. В рамках отдельного входа в систему, данные учетные записи, имеющие необходимые разрешения, потенциально имеют доступ к ресурсам в любом домене в составе леса.
Так как домен 1 имеет транзитивное доверительное отношение с доменом 2 и домен 2 имеет транзитивное доверительное отношение с доменом 3, пользователи домена 3 (при условии наличия у них соответствующих разрешений) имеют доступ к ресурсам в домене 1. В силу того что домен 1 имеет транзитивное доверительное отношение с доменом A и остальные домены в дереве доменов домена A имеют транзитивные доверительные отношения с доменом A, пользователи домена B (при условии наличия у них соответствующих разрешений) имеют доступ к ресурсам домена 3.
Можно также явно (вручную) создать транзитивные доверительные отношения между доменами Windows 2000 в составе того же дерева доменов или леса. Данные доверительные отношения могут использоваться для сокращения доверительных отношений в больших и сложных деревьях доменов или лесах.