Домены и доверительные отношения
Домен занимает центральное место в Active Directory.
Под доменом понимается совокупность компьютеров, характеризующихся наличием общей базы учетных записей пользователей и единой политикой безопасности.
Таким образом, доменом называется отдельная область безопасности в компьютерной сети Windows, использующей технологию NT.
Служба каталогов Active Directory может охватывать один или нескольких доменов. На автономной рабочей станции доменом является сам компьютер. С физической точки зрения домен может включать в себя компьютеры, расположенные в разных местах. В каждом домене действует своя политика безопасности и свои отношения безопасности с другими доменами.
Если несколько доменов связаны доверительными отношениями и имеют одни и те же схему, конфигурацию и глобальный каталог, мы имеем дерево доменов. Несколько деревьев доменов могут быть объединены в лес.
Дерево доменов (дерево) состоит из нескольких доменов, имеющих общие схему и конфигурацию и тем самым образующих общее пространство имен. Домены одного дерева также связаны между собой доверительными отношениями. Служба каталогов Active Directory представляет собой множество, состоящее из одного или нескольких деревьев.
Деревья можно рассматривать с двух точек зрения: с позиции доверительных отношений между доменами или как пространство имен дерева доменов.
Дерево доменов можно представить в виде индивидуальных доменов и существующих между ними доверительных отношений.
Операционная система Windows 2000/2003 устанавливает доверительные отношения между доменами на основе протокола безопасности Kerberos 5.
Доверительные отношения по протоколу Kerberos транзитивны: если домен A доверяет домену B, а домен B доверяет домену C, то домен A доверяет домену C. Доверяющий домен будет доверять процедуре аутентификации на доверенном домене, т. е. учетные записи доверенного домена можно использовать на доверяющем домене (рис. 3.8). Значит, пользователям доверенного домена могут быть даны ресурсы доверяющего домена.
Рис 3.8. Дерево доменов, рассматриваемое в терминах доверительных отношений
Можно представить дерево доменов на основе пространства имен (рис. 3.9).
Рис. 3.9. Представление дерева доменов в виде пространства имен
Лесом называется набор, состоящий из одного или нескольких деревьев, которые не образуют непрерывного пространства имен. Все деревья леса имеют одни и те же схему, конфигурацию и глобальный каталог. Все деревья леса связаны доверительными отношениями посредством транзитивных доверительных отношений по протоколу Kerberos.
Лес, в отличие от дерева, не должен иметь отличающее его имя. Лес существует как набор объектов перекрестных ссылок и доверительных отношений по протоколу Kerberos, известных деревьям, составляющим этот лес (рис. 3.10).
Рис. 3.10. Лес, содержащий более одного дерева
Деревья леса образуют иерархию доверия по протоколу Kerberos; имя дерева, находящегося в корне дерева доверия, может быть использовано для ссылки на указанный лес.