Описание Active Directory

Оснастка Active Directory Domains and Trusts

В оснастке Active Directory Domains and Trusts (Домены и доверительные отношения Active Directory) вы можете просматривать, создавать, модифицировать и проверять доверительные отношения для вашего леса. Доверительные отношения позволяют пользователям одного домена аутентифицироваться в доверяющем домене. Если пользовательская учетная запись может быть аутентифицирована, то вы можете предоставлять доступ к ресурсам этого доверяющего домена.

Ниже приводится список различных типов доверительных отношений в Windows Server 2003.

• Domain root trust (Доверительные отношения между корнями доменов).Доверительные отношения между корнями двух различных доменов одного леса. На рис. 10.5 показан этот тип доверительных отношений между двумя деревьями: company.dom и domain2.dom.
• Parent-child trust (Доверительные отношения между родительским и дочерним доменами).Отношения в рамках одного пространства доменных имен. На рис. 10.5 имеется домен sales под корнем company.dom. Их доверительные отношения - это отношения между родительским и дочерним доменами. В лесу Active Directory доверительные отношения являются двусторонними и транзитивными. Транзитивность на рис. 10.5 означает, что для доступа к ресурсам домена finance.company.dom из домена sales.company.dom не требуется специально конфигурировать соответствующие доверительные отношения, поскольку оба этих домена являются дочерними доменами родительского домена company.com. Доверительные отношения между finance.company.dom и sales.company.dom определяются как путь доверия через все домены в одном дереве доменов.

Рис. 10.5. Различные типы доверительных отношений, поддерживаемых в Windows Server 2003

• Shortcut trust (Сокращенные доверительные отношения).Для транзитивности доверительных отношений в домене и лесу соответствующее доверительное отношение должно проверяться через все дерево доменов. Вы можете создавать доверительное отношение, которое позволяет снизить количество времени, требующееся для проверки пути доверия. Создавая вручную доверительное отношение в оснастке Active Directory Domains and Trusts, вы действительно сокращаете время, которое требуется для аутентификации доступа к ресурсам.
• Forest trust (Доверительные отношения между лесами).Новый вид доверительных отношений, появившийся в Windows Server 2003; это позволяет одному лесу тран-зитивно доверять всем доменам другого леса. Например, предположим, у нас имеется домен company.dom из предыдущего примера и внутри этого домена имеется дочерний домен sales.company.dom. Если сконфигурировать доверительные отношения на уровне лесов с другим лесом, external.dom, то sales.company.dom получает транзитивные доверительные отношения через корень своего леса с другим доверяемым лесом. Вы можете конфигурировать эти доверительные отношения как транзитивные двусторонние или односторонние отношения.
• Realm trust (Доверительные отношения с областью действия).Добавляя доверительные отношения с областью действия Kerberos, вы можете устанавливать такие доверительные отношения с областями, отличными от Windows Kerberos version Как и в случае других внешних доверительных отношений, это могут быть транзитивные или нетранзитивные двусторонние или односторонние отношения.

В следующем примере происходит добавление доверительного отношения к существующему домену.

1. Выберите Start/Programs/Administrative Tools/Active Directory Domains and Trusts.
2. Раскройте верхний узел Active Directory Domains and Trusts, чтобы увидеть все домены в вашем лесу. Щелкните правой кнопкой на домене, к которому вы хотите добавить это доверительное отношение, и выберите пункт Properties.
3. В диалоговом окне Domain Properties (Свойства домена) щелкните на вкладке Trusts (Доверительные отношения), чтобы увидеть доверительные отношения для вашего домена.
4. Щелкните на кнопке New Trust (Создать доверительное отношение), чтобы запустить мастер New Trust Wizard, и щелкните на кнопке Next.
5. В диалоговом окне Trust Name (Имя доверительного отношения) введите NetBIOS-имя или DNS-имя домена, с которым вы хотите создать доверительное отношение. Для продолжения щелкните на кнопке Next.
6. Выберите тип доверительного отношения.
   • Two-way (Двустороннее).Пользователи из вашего домена смогут аутентифи-цироваться в доверяемом домене и использовать его ресурсы; пользователи доверяемого домена смогут аутентифицироваться в вашем домене и использовать его ресурсы
   • One-way Incoming (Одностороннее входящее).Пользователи вашего домена смогут аутентифицироваться в другом домене и получать доступ к его ресурсам.
   • One-way Outgoing (Одностороннее исходящее).Пользователи другого домена смогут аутентифицироваться в вашем домене и получать доступ к его ресурсам.
7. Щелкните на кнопке Next, чтобы открыть диалоговое окно Sides of Trust (Стороны доверительного отношения). Укажите, где вы хотите создать доверительное отношение - в вашем домене или в обоих доменах (при условии, что вы имеете соответствующие полномочия). Для продолжения щелкните на кнопке Next.
8. В диалоговом окне Outgoing Trust Authentication Level (Уровень аутентификации исходящего доверительного отношения) задайте область действия этого доверительного отношения; вы можете выбрать Domain-wide authentication (Аутентификация в рамках домена), что позволяет всем пользователям из второго домена выполнять доступ к ресурсам вашего домена, или Selective Authentication (Выборочная аутентификация), что требует от вас задания доступа пользователей после создания этого доверительного отношения. Для продолжения щелкните на кнопке Next.
9. В диалоговом окне Trust Password (Пароль доверительного отношения) введите пароль для проверки этого нового доверительного отношения; этот пароль следует ввести в обоих доменах. Для продолжения щелкните на кнопке Next. Просмотрите отчет о выполненной вами задаче.