Доступ к ресурсам через домены
Поскольку два и более домена Active Directory в пределах одного леса неявно связаны двусторонними транзитивными отношениями доверия, запросы проверки подлинности, отправленные одним доменом другому, успешно маршрутизируются для обеспечения полной совместимости ресурсов доменов. Пользователи могут получить доступ к ресурсам других доменов только после прохождения проверки подлинности в собственном домене.
Контроллеры домена, работающие под управлением Windows 2000 и Windows Server 2003 производят проверку подлинности пользователей и приложений с помощью одного из двух протоколов проверки подлинности: Kerberos V5 или NTLM. Дополнительные сведения о проверке подлинности Kerberos V5 см. в разделе Проверка подлинности Kerberos V5. Дополнительные сведения о проверке подлинности по протоколу NTLM см. в разделе Проверка подлинности NTLM. Дополнительные сведения о процессе проверки подлинности в Active Directory см. в разделе Управление доступом в Active Directory.
После прохождения проверки подлинности пользователь может попытаться получить доступ к ресурсам любого домена леса с помощью процесса проверки подлинности в Active Directory. Дополнительные сведения о процессе проверки подлинности в Active Directory см. в разделе Сведения о безопасности для Active Directory.
Чтобы получить доступ к общему ресурсу другого домена с помощью Kerberos, рабочая станция пользователя сначала запрашивает билет у контроллера домена в том домене, которому принадлежит данная учетная запись, для сервера (владеющего ресурсом) в домене-доверителе. Данный билет затем выдается посредником, которому доверяют и рабочая станция, и сервер. Рабочая станция предоставляет этот доверенный билет серверу в домене-доверителе для проверки подлинности.
Приведенный ниже рисунок и соответствующие шаги предоставляют подробное описание процесса проверки подлинности Kerberos, который используется, когда компьютер, работающий под управлением Windows 2000 Professional, Windows 2000 Server, Windows XP Professional., или операционной системы семейства Windows Server 2003, пытается получить доступ к ресурсам сервера, расположенного в другом домене.
- Пользователь «Пользователь_1» входит в компьютер «Рабочая_станция_1», используя учетные данные домена child1.microsoft.com. В ходе этого процесса производящий проверку подлинности контроллер домена выдает пользователю «Пользователь_1» билет на выдачу билета (TGT). Этот билет необходим для прохождения проверки подлинности для ресурсов. После этого пользователь пытается получить доступ к общему ресурсу (\\fileserver1\share) на файловом сервере, расположенном в домене «Дочерний_домен_2».
- «Рабочая_станция_1» связывается с центром распространения ключей KDC в контроллере своего домена (ChildDC1) и запрашивает билет службы для имени участника службы (SPN) «Файловый_сервер_1».
- «Дочерний_контроллер_домена_1» не находит данное имя SPN в своей базе данных домена и запрашивает глобальный каталог, чтобы выяснить, содержит ли это имя SPN один из доменов данного леса. Глобальный каталог отправляет запрашиваемые сведения обратно контроллеру «Дочерний_контроллер_домена_1».
- «Дочерний_контроллер_домена_1» посылает ссылку на компьютер «Рабочая_станция_1».
- «Рабочая_станция_1» связывается с контроллером домена «Контроллер_домена_леса_корня» (родительский домен) для ссылки на контроллер домена «Дочерний_котроллер_домена_2» в домене «Дочерний_домен_2». «Контроллер_домена_корня_леса_1» посылает ссылку на компьютер «Рабочая_станция_1».
- Компьютер «Рабочая_станция_1» обращается в центр распространения ключей (KDC) на компьютере «Дочерний_контроллер_домена_2» и согласовывает билет для пользователя «Пользователь_1» для получения доступа к компьютеру «Файловый_сервер_1».
- Теперь, когда у «Рабочей_станции_1» есть билет службы, она отправляет его на «Файловый_сервер_1», который считывает учетные данные пользователя и соответствующим образом формирует маркер доступа.
Каждый домен содержит свой набор политик безопасности, которые определяются отдельно для каждого домена. Дополнительные сведения см. в разделе Домены.
Планирование стратегии управления доступом для нескольких доменов
Рекомендуется тщательно планировать наиболее эффективную стратегию управления доступом для требований ресурсов организации. Разработка и внедрение групп безопасности для каждого домена одного леса представляет собой один из важных факторов, которые следует учитывать на этапе планирования. Сведения о планировании стратегии управления доступом для нескольких лесов см. в разделе Доступ к ресурсам через леса.
Важно понять основные понятия групп безопасности перед началом процесса планирования.
- Группы безопасности. Права пользователя могут быть применены к группам в Active Directory, в то время как разрешения могут быть назначены группам безопасности на рядовых серверах, несущих ресурс. Сведения см. в разделе Типы группы.
- Вложенность групп. Возможность вложения групп безопасности зависит от областей действия групп и функциональности домена. Дополнительные сведения см. в разделе Вложенность групп.
- Область действия групп. Область действия групп помогает определить границы доступа уровня домена и уровня леса групп безопасности. Дополнительные сведения см. в разделе Область действия группы.
- Функциональность домена. Режим работы доверенных доменов и доменов-доверителей может влиять на функциональность групп, такую как вложенность групп. Дополнительные сведения см. в разделе Функциональность домена и леса.
Как только было получено основательное знание общих понятий групп безопасности, необходимо определить требования ресурсов каждого отдела и географического подразделения для помощи в попытке планирования.
Советы и рекомендации по контролю доступа к общим ресурсам доменов
За счет аккуратного использования локальных, глобальных и универсальных групп домена администраторы могут более эффективно управлять доступом к ресурсам, расположенным в других доменах. Примите во внимание следующие советы и рекомендации.
- Упорядочьте пользователей домена в соответствии с требованиями администрирования, такими как их размещение или отделы, затем создайте глобальную группу и добавьте в нее соответствующие учетные записи пользователей.
Например, добавьте все рабочие учетные записи пользователей отдела продаж к глобальной группе отдела продаж, а учетные записи пользователей отдела учета — к глобальной группе отдела учета. - Создайте локальную группу домена и добавьте все глобальные группы, имеющие те же возможности доступа к ресурсу домена.
Например, работники глобальной группы отдела продаж и глобальной группы отдела учета, расположенных в домене А, используют сходные ресурсы принтера, расположенные в домене Б. Чтобы более гибко производить изменения администрирование, создайте в домене Б локальную группу домена «Ресурсы принтера» и добавьте в нее глобальные группы отдела продаж и отдела учета из домена А. - Назначьте локальной группе домена разрешения, необходимые для доступа к общему ресурсу.
Например, назначьте разрешения локальной группе домена «Ресурсы принтера», расположенной в домене Б, таким образом, чтобы ее члены, включая группы отдела продаж и отдела учета из домена А, имели доступ к принтеру, расположенному в домене Б.