Влияние карантина фильтрации кодов SID

Карантин фильтрации SID для внешних доверий может повлиять на существующую инфраструктуру Active Directory в следующих двух областях.

  • Данные журнала SID, содержащие коды любого домена, отличного от доверенного, будут удалены из запросов проверки подлинности, сделанных из доверенного домена. В результате будет запрещен доступ к ресурсам, имеющим старый код SID пользователя.
  • Стратегия управления доступом к универсальным группам между лесами потребует изменений.

При включении карантина фильтрации SID пользователи, использующие данные журнала SID для получения разрешения на доступ к ресурсам в домене-доверителе, не будут больше иметь доступа к этим ресурсам.

При обычном назначении универсальных групп доверенного леса в списки управления доступом (ACL) для общих ресурсов в домене-доверителе карантин фильтрации SID оказывает большое влияние на стратегию управления доступом.

Поскольку универсальные группы должны удовлетворять тем же правилам карантина фильтрации SID, что и другие объекты безопасности (т. е. код SID объекта универсальной группы должен также содержать код домена), необходимо проверить, что все универсальные группы, назначенные для общих ресурсов домена-доверителя, были созданы в доверенном домене.

Если универсальная группа в доверенном лесу не была создана в доверенном домене, то несмотря на то, что ее членами могут быть пользователи доверенного домена, запросы проверки подлинности от членов этой группы отфильтровываются и исключаются.

Таким образом, перед назначением доступа к ресурсам домена-доверителя для пользователей доверенного домена необходимо убедиться, что универсальная группа, в которую входят эти пользователи, была создана в доверенном домене.

Отключение карантина фильтрации SID

Хотя это и не рекомендуется, можно отключить карантин фильтрации SID для внешнего доверия с помощью средства Netdom.exe. Карантин фильтрации SID рекомендуется отключать только в следующих ситуациях.

  • Все администраторы, имеющие физический доступ к контроллерам доверенного домена, имеют тот же уровень доверия, что и администраторы домена-доверителя.
  • Имеется строгое требование назначения универсальных групп, созданных не в доверенном домене, на ресурсы домена-доверителя.
  • Пользователи были перемещены в доверенный домен с сохраненными журналами SID, и им необходимо назначить доступ к ресурсам домена-доверителя на основе атрибута журнала SID.

Отключение фильтрации SID могут производить только администраторы домена. Чтобы отключить карантин фильтрации SID для домена-доверителя, в командной строке введите команду со следующим синтаксисом:

Netdom trust имя_домена_доверителя /domain: имя_доверенного_домена /quarantine:No /userD:учетная_запись_администратора_домена/passwordD:пароль_администратора_домена

Чтобы включить карантин фильтрации кодов SID, задайте параметру командной строки /quarantine: значение Yes. Дополнительные сведения о программе Netdom.exe см. в разделе Средства поддержки Active Directory.

Включить и отключить карантин фильтрации SID можно только с доверяющей стороны доверия. Если доверие является двусторонним, то отключить карантин фильтрации SID можно также в доверенном домене, используя учетные данные администратора для доверенного домена и меняя местами значения имя_домена_доверителя и имя_доверенного_домена в синтаксисе командной строки.

Примечания

  • Для обеспечения безопасности леса необходимо включить карантин фильтрации SID для всех существующих внешних доверий, созданных контроллерами домена под управлением пакета Windows 2000 Service Pack 3 (или более ранней версии). Это можно сделать с помощью программы Netdom.exe, включающей фильтрацию SID для существующих внешних доверий, или путем воссоздания внешних доверий с контроллера домена под управлением Windows Server 2003 или пакета Windows 2000 Service Pack 4 (или более поздней версии).
  • Нельзя отключить стандартную функцию, которая включает карантин фильтрации SID для вновь создаваемых внешних доверий.
  • Для внешних доверий, созданных из контроллеров домена под управлением пакета Windows 2000 Service Pack 3 (или более ранней версии), карантин фильтрации SID по умолчанию не применяется.
  • Контроллеры домена под управлением Windows NT Server 4.0 не принимают участия в процессе создания доверия, если существующие в том же домене контроллеры находятся под управлением Windows 2000 или Windows Server 2003.
  • Включать и отключать карантин фильтрации SID можно только для доверий, простирающихся за границу леса, таких как внешние доверия и доверия леса. Дополнительные сведения о фильтрации SID и довериях лесов см. в разделе Доверия лесов.

Наши рекомендации