Транзитивное доверительное отношение

ЛАБОРАТОРНАЯ РАБОТА #2

Windows 2000 Server

ЦЕЛЬ РАБОТЫ:

Ознакомиться с процедурой установления конфиденциальных взаимоотношений между доменами.

ТЕОРЕТИЧЕСКАЯ ЧАСТЬ:

Доверительные отношения доменов

Доверительным отношением домена именуется отношение, установленное между двумя доменами, разрешающее пользователям одного домена проходить диагностику подлинности посредством контроллера домена, принадлежащего второму домену. Все доверительные отношения включают в себя лишь два домена: домен-доверенный домен и доверитель.

Доверительные отношения обозначены стрелкой (показывающей на доверенный домен).

Доверительные отношения домена подразделяются на следующие типы:

  • односторонние;
  • двусторонние;
  • транзитивные;
  • нетранзитивные.

Одностороннее доверительное отношение

Односторонним доверительным отношением есть отдельное доверительное отношение, в то время, когда домен A доверяет домену B. Все односторонние доверительные отношения являются нетранзитивными, и все нетранзитивные являются односторонними. Запросы на диагностику подлинности смогут проходить лишь от домена-доверителя к доверенному домену. Это указывает, что в случае если домен A имеет одностороннее доверительное отношение с доменом B и домен B имеет одностороннее доверительное отношение с доменом C, домен A не имеет доверительного отношения с доменом C.

Так как все домены Windows 2000 в составе леса связаны транзитивными доверительными отношениями, создание односторонних конфиденциальных взаимоотношений между доменами Windows 2000 в том же лесе нереально.

Двустороннее доверительное отношение

Все доверительные отношения доменов в составе леса Windows 2000 являются двусторонними и транзитивными.

При создании нового дочернего домена, двустороннее транзитивное доверительное отношение создается машинально между дочерним и родительским доменами. При двустороннем доверительном отношении домен A доверяет домену B и напротив. Это указывает, что запросы на диагностику подлинности проходят между двумя доменами в обоих направлениях.

Для нетранзитивных двусторонних конфиденциальных взаимоотношений нужно создать два односторонних конфиденциальных отношения между данными доменами.

Транзитивное доверительное отношение

Все доверительные отношения доменов в составе леса Windows 2000 являются транзитивными. Транзитивные доверительные отношения постоянно являются двусторонними: оба домена доверяют друг другу.

Транзитивное доверительное отношение не ограничено двумя доменами, входящими в него. Транзитивное двустороннее доверительное отношение создается неявно (машинально) между родительским и дочерним доменами любой раз при создании нового дочернего домена. Так, транзитивные доверительные отношения перемещаются вверх по дереву доменов по мере его формирования, создавая транзитивные доверительные отношения между всеми доменами в составе дерева доменов.

Любой раз при создании нового дерева доменов в составе леса, двустороннее транзитивное доверительное отношение создается между корневым доменом леса и новым доменом (корнем нового дерева доменов). Если не добавляется дочерних доменов к новому домену, путь конфиденциальных взаимоотношений существует между новым корневым корневым и доменом доменом леса. При, в то время, когда дочерние домены добавляются к новому домену (создавая так дерево доменов), доверительное отношение перемещается вверх через дерево доменов к корневому домену дерева доменов, расширяя так исходный путь конфиденциальных взаимоотношений, созданный между корневым корневым доменом и доменом леса. Независимо от того, есть додаваемый в состав леса новый домен отдельным корневым доменом (не имеющим дочерних доменов), или деревом доменов, пути конфиденциальных взаимоотношений увеличиваются через корневой домен леса ко всем вторым корневым доменам в составе леса. Так, транзитивные доверительные отношения перемещаются через все домены в составе леса. Запросы на диагностику подлинности следуют по этим дорогам конфиденциальных взаимоотношений, предоставляя возможность учетным записям любого домена в составе леса проходить диагностику подлинности в любом домене леса. В рамках отдельного входа в совокупность, эти учетные записи, имеющие нужные разрешения, возможно имеют доступ к ресурсам в любом домене в составе леса.

Так как домен 1 имеет транзитивное доверительное отношение с доменом 2 и домен 2 имеет транзитивное доверительное отношение с доменом 3, пользователи домена 3 (при условии наличия у них соответствующих разрешений) имеют доступ к ресурсам в домене 1. Потому что домен 1 имеет транзитивное доверительное отношение с доменом A и остальные домены в дереве доменов домена A имеют транзитивные доверительные отношения с доменом A, пользователи домена B (при условии наличия у них соответствующих разрешений) имеют доступ к ресурсам домена 3.

Возможно кроме этого очевидно (вручную) создать транзитивные доверительные отношения между доменами Windows 2000 в составе того же дерева доменов либо леса. Эти доверительные отношения смогут употребляться для сокращения конфиденциальных взаимоотношений в громадных и сложных деревьях доменов либо лесах.

Условие транзитивности отношения


Также читать:

Понравилась статья? Поделиться с друзьями: