Деревья доменов Active Directory

Дерево Active Directory состоит из нескольких доменов, соединенных двунаправ­ленными транзитивными отношениями доверия. Каждый домен в дереве Active Directory использует общую схему и глобальный каталог.  Транзитивное доверительное отношение устанавливается автоматически, в отли­чие от структуры доменов NT 4.0, где все доверительные отношения должны были ус­танавливаться вручную. Транзитивное доверительное отношение означает, что если домен asia доверяет корневому домену companyabc, и домен europe также доверяет до­мену companyabc, то домен asia доверяет и домену europe.

На заметку

Хотя в среде Windows Active Directory доверительные отношения транзитивны, это не озна­чает, что права доступа полностью доступны всем пользователям или хотя бы администра­торам других доменов. Доверительные отношения лишь обеспечивает путь от одного доме­на к другому. По умолчанию от одного транзитивного домена к другому не передаются ника­кие права доступа. Администратор домена должен предоставить пользователям или администраторам другого домена права доступа к ресурсам своего домена.

Все домены, образующие дерево, совместно используют общее пространство имен — в данном случае companyabc.com — но содержат механизмы защиты, ограничи­вающие доступ из других доменов. Другими словами, администратор домена europe может иметь относительный контроль над всем своим доменом, а пользователи из до­мена asia или companyabc не имеют полномочий на доступ к его ресурсам. С другой стороны, при желании администраторы домена europe могут разрешить доступ груп­пам пользователей из других доменов. Администрирование может быть очень точным и конфигурируемым.

Аналогичные записи: Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий

Вы должны быть авторизованы, чтобы разместить комментарий.