Multe întreprinderi au mai multe domenii Windows în rețeaua lor. Relațiile de încredere dintre ele sunt uneori foarte complexe, mai ales în cazul structurilor ierarhice Active Directory. Vom vorbi despre funcționarea relațiilor de încredere, despre metodele de înființare a acestora, precum și despre informațiile de bază necesare pentru aceasta.
Infrastructura IT pentru întreprinderea dvs.
Pentru majoritatea administratorilor, procesul de stabilire a unei relații de încredere necesită încă ajustare, deoarece conceptele individuale sunt puțin confuze. Ca urmare, din punct de vedere tehnic, capacitatea de a conecta domenii Windows unul cu altul este mai "misterioasă" decât este într-adevăr (vezi Figura 1). Prin urmare, mai întâi să ne ocupăm de conceptele de bază.
În Active Directory, există două tipuri diferite de relații de încredere: "într-o direcție" și "bidirecțională". În primul caz, un domeniu are încredere în altul, dar nu invers. Utilizatorii din Domeniul 1 pot accesa resursele Domeniu 2, dar utilizatorii de Domeniu 2 nu au acces la resursele Domeniu 1. Desigur, este posibil și opusul. Alte opțiuni pentru relațiile de încredere: "ieșire" și "primire". În relațiile de încredere de ieșire, Domeniul 1 are încredere în Domeniul 2, adică utilizatorii de Domeniu 2 pot accesa resursele domeniului 1.
Într-un astfel de proces, domeniul de la care a provenit relația de încredere este un domeniu de încredere (Domeniul de încredere). Un domeniu cu relații de încredere primite este un domeniu de încredere, creează conturi de utilizator care au drepturi în domeniul de încredere.
În Windows NT 4.0, puteți stabili relații de încredere, dar nu și cele tranzitorii. Dacă Windows NT 4.0 a creat relații de încredere între domeniile A și B și, de asemenea, între domeniile B și C, aceasta nu înseamnă că domeniul A ar avea încredere în domeniul C sau, invers, domeniul C - domeniul A. Această conexiune trebuia instalată manual . Active Directory se face diferit. Domeniile pot fi legate aproape fără restricții prin domenii, domenii copil și copaci, cu stabilirea automată a încrederii între ele. În Active Directory, fiecare domeniu are încredere în orice alt domeniu dacă face parte din aceeași pădure. Este posibil să se stabilească o relație de încredere manuală, dar nu mai este nevoie de aceasta (fraza-cheie: relații de încredere trunchiate).
Într-o pădure separată, există un anumit algoritm de reglementare: relațiile de încredere sunt create automat între domenii mai mari și cele cu costuri reduse. Microsoft desemnează acest tip ca "relație de încredere subordonată". În plus, relațiile de încredere sunt create automat între domeniile rădăcină ale copacilor individuali. Cu toate acestea, nu există o relație de încredere între domeniile subordonate ale copacilor diferiți. Ei se încredeau reciproc pe baza relațiilor de încredere tranzitivă (a se vedea figura 2). Relațiile de încredere între domeniile rădăcinilor diferitelor păduri sunt denumite "trustul forestier" (Forest Trust).
Când creați mai mulți copaci într-o pădure, calea de încredere are o importanță deosebită. Din moment ce relațiile de încredere dintre domeniile subordonate ale copacilor nu sunt create, accesul la resurse poate necesita optimizarea autentificării. Când încercați să accesați date aflate în domeniile subordonate ale copacilor, autentificarea trebuie să treacă prin calea către domeniul rădăcină al arborelui dvs., apoi la domeniul rădăcină al unui alt copac și, în final, la domeniul subordonat. Pentru a accelera acest proces, puteți stabili manual relații de încredere între două domenii subordonate.
Gestionarea relațiilor de încredere se realizează utilizând un modul suplimentar ("Snap-in") "Domenii Active Directory și relații de încredere". Dacă apelați proprietățile unui domeniu din acesta, puteți găsi toate relațiile sale de încredere în fila corespunzătoare și specificați altele noi. Dacă doriți să creați o relație de încredere cu un domeniu extern, trebuie mai întâi să vă asigurați că recunoașterea numelor între domenii se face fără erori. Numai atunci când există o rezolvare stabilă și fiabilă a numelor, puteți stabili o relație de încredere. Aici este utilă infrastructura serverului DNS / WINS optimă. Ideea este că, dacă trebuie să creați o relație de încredere cu un domeniu Windows NT 4.0, atunci serverul WINS este mai bun decât DNS. În principiu, conexiunea dintre domeniul Windows NT 4.0 și domeniul Active Directory poate fi instalată fără WINS, dar va fi instabilă și dificil de implementat.
Pentru a crea o relație de încredere, în modulul opțional Active Directory Domains și Trust Relationships, trebuie să apelați proprietățile domeniului din care provine. În fila "Trust Relationships", trebuie să faceți clic pe butonul "New Confidence". Windows pornește asistentul. A doua pagină afișează numele domeniului la care se va stabili relația de încredere. Dacă acesta este un domeniu Active Directory, atunci trebuie să utilizați numele DNS, în timp ce numele NetBIOS este cea mai bună alegere pentru conectarea la un domeniu Windows NT 4.0. Apoi asistentul verifică dacă legătura cu domeniul este posibilă și dacă relația de încredere trebuie să fie una sau mai multe bidirecțional (a se vedea Figura 3).
Cu o conexiune bidirecțională, utilizatorii fiecărui domeniu se pot autentifica într-un alt domeniu pentru a avea acces la resurse. Dacă selectați "Unidirectional: Incoming", se stabilește că acest domeniu este de încredere,
adică utilizatorul acestui domeniu se poate autentifica într-un alt domeniu și poate accesa resursele acestuia. În versiunea "Unidirectional: outgoing" utilizatorii unui alt domeniu se pot înregistra în acesta, dar utilizatorii acestui domeniu dintr-un alt domeniu nu.
Apoi, zona de autentificare a relației de încredere este definită. Majoritatea administratorilor utilizează opțiunea "Autentificare universală a identității". În același timp, utilizatorii din același domeniu pot accesa resursele altor persoane prin intermediul unui membru al grupului sau prin permisiunea directă. Dacă este selectată opțiunea "Autentificare selectivă", opțiunea "Se poate autentifica" trebuie activată pentru fiecare server la care sunt permise utilizatorii unui alt domeniu în setările sau regulile locale de securitate. Această configurație crește securitatea, dar, în același timp, structura distribuției drepturilor devine mai complicată. Utilizatorilor din alt domeniu li se refuză automat accesul la serverele individuale ale întreprinderii.
Acum ar trebui să anulați eșecul pentru fiecare server individual și apoi să setați parola pentru relația de încredere, pe care ulterior trebuie să o verificați și să stabiliți o relație de încredere în cealaltă direcție. În fereastra următoare trebuie să alegeți dacă se va verifica relația de încredere. Când creați o relație de încredere cu un domeniu Windows NT 4.0, trebuie să le instalați mai întâi din acest domeniu. Utilizatorii obțin acces la resurse numai după verificarea relațiilor de încredere ca active. Dacă crearea unei relații de încredere nu reușește, acest lucru se datorează, de obicei, problemelor legate de rezolvarea numelor sau de drepturi.
FILTERING SID ÎN RELAȚII DE TRECERE
Cu toate acestea, dacă activați filtrul SID se poate întâmpla ca vor fi ignorate de istoria SID al utilizatorului, se obține din alte domenii, ca urmare a migrației. Apoi, vor apărea probleme cu autentificarea la accesarea resurselor, deci nu se poate folosi întotdeauna filtrul SID. În cazul în care filtrul este utilizat pentru a consolida Windows NT 4.0 relație de încredere, există o problemă să apară mai puțin frecvent decât în construirea relației de încredere externe domeniului în Active Directory. Dacă grupul universal din domeniul Active Directory al domeniului de încredere este acordat permisiuni pentru resursele de domeniu de încredere, trebuie să vă asigurați că acest grup a fost creat exact într-un domeniu de încredere și nu în niciun alt domeniu Active Directory. În caz contrar, nu conține încredere în domeniu SID, și filtrul SID nu va permite accesul la resursele de domeniu încrezători.
TRATAREA ATITUDINILOR LA DOMENIILE NT 4.0
Filtrarea SID este reactivată într-un mod foarte simplu. Opțiunea / carantină trebuie să fie setată la: da: încredere Netdom / domeniu: / carantină: da / userD: / passwordD.
Uneori există probleme cu stabilirea relațiilor de încredere. Acest lucru se datorează recunoașterii eronate a numelui, ruterelor securizate între subrețele diferite sau erorilor pe serverele WINS. Dacă nu puteți crea o relație de încredere între cele două controlere de domeniu, atunci vă ajută adesea să creați fișierul lmhosts pe ambele servere. Acest fișier este localizat în folderul sistem Windows32driversetc. Pentru a asigura recunoașterea numelor, fișierul trebuie redenumit la lmhosts fără o extensie. Fișierul specificat configurează rezoluția domeniului, astfel încât serverele DNS sau WINS vor fi sărite. Pentru aceasta, adăugați următoarele fișiere în fișier:
#pre #dom:
"
Trimiteți-le prietenilor: