Доверительные отношения доменов

Домены Active Directory в Windows Server 2003 могут быть связаны друг с другом с помощью концепции, известной как доверительные отношения (trust). Многие адми­нистраторы NT 4.0 знают, что это такое (хотя многие из них предпочитают забыть о них). Доверительное отношение представляет собой механизм, обеспечивающий дос­туп к ресурсам одного домена аутентифицированным пользователям из другого доме­на. Многие администраторы, должно быть, помнят, что в NT 4.0 доверительные от­ношения были однонаправленными и нетранзитивными. Другими словами, любое со­вместное использование ресурсов между несколькими доменами требовало наличия многочисленных доверительных отношений. В Active Directory доверительные отно­шения используют подход, отличный от подхода «соединение всего доверительными отношениями». Доверительные отношения в Active Directory Windows Server 2003 мощнее и в то же время проще. Доверительные отношения AD проявляются в различ­ных формах, но, как правило, попадают в одну из четырех категорий, описанных в последующих разделах.

Транзитивные доверительные отношения

Транзитивные доверительные отношения (transitive trusts) являются автоматиче­скими двунаправленными отношениями доверия между доменами в Active Directory. Эти доверительные отношения соединяют ресурсы отдельных доменов Active Direc­tory и отличаются от доверительных отношений из Windows NT тем, что они перете­кают из одного домена в другой. Другими словами, если домен A доверяет домену B, а домен B доверяет домену C, то домен A доверяет домену C. Это перетекание сущест­венно упрощает отношения между доменами Windows, поскольку в этом случае отпа­дает необходимость наличия многочисленных отношений доверия между каждой па­рой доменов.

Явные доверительные отношения

Явное доверительное отношение (explicit trust) есть отношение, которое устанав­ливается между доменами вручную для обеспечения специального пути совместной ау­тентификации между доменами. В зависимости от потребностей среды этот тип от­ношений доверия может быть одно- или двунаправленным. То есть все доверительные отношения NT 4.0 можно определить как явные доверительные отношения, посколь­ку все они создаются вручную и не позволяют перетекание полномочий, как в случае транзитивных доверительных отношений. Использование явных доверительных от­ношений в Active Directory предоставляет разработчикам большую гибкость и воз­можность устанавливать доверительные отношения с внешними доменами и домена­ми нижнего уровня. Все доверительные отношения между доменами Active Directory и доменами NT являются явными доверительными отношениями.

Сокращенные доверительные отношения

Сокращенное доверительное отношение (shortcut trusts) представляет собой явное доверительное отношение, образующее более короткий путь между двумя доменами в доменной структуре. Например, если дерево доменов содержит несколько поддоме-нов, расположенных на большой глубине, то можно установить сокращенное доверительное отношение между этими глубинными поддоменами дерева. Это отношение увеличивает связность между двумя доменами и уменьшает число переходов при выполнении запросов на аутентификацию. В обычных условиях такой запрос должен был бы подняться вверх по дереву транзитивных отношений, а затем снова опуститься, что существенно увеличивает затраты ресурсов. Cокращенное доверительное отношение тео­ретически может уменьшить затраты при совместном использовании ресурсов двумя поддоменами сбыта (sales) в дереве companyabc.com.

Транзитивные доверительные отношения между лесами

Транзитивные доверительные отношения между лесами представляют собой дву­направленные транзитивные доверительные отношения, существующие между двумя несопоставимыми лесами Active Directory. Явные доверительные отношения между отдельными доменами в различных лесах были возможны еще в Windows 2000, но до­верительные отношения между лесами в Windows Server 2003 позволяют устанавли­вать двунаправленные транзитивные доверительные отношения между двумя отдель­ными лесами.

Аналогичные записи:
Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий

Вы должны быть авторизованы, чтобы разместить комментарий.