Леса в Active Directory

Леса — это группы взаимосвязанных деревьев доменов. Корни всех деревьев связа­ны неявными доверительными отношениями, образуя общий лес. В общий лес все домены и деревья доменов связывает наличие общей схемы и об­щий глобальный каталог. Однако домены и деревья доменов в лесу не обязательно должны использовать общее пространство имен. Например, домены microsoft.com и msnbc.com теоретически могут быть частями одного и того же леса, но при этом со­хранять (по вполне очевидным причинам) свои собственные раздельные пространст­ва имен. Леса являются основной границей организационной безопасности для Active Directory, и предполагается, что между всеми администраторами в лесу существует не­которая степень доверия. Если администратор не является доверяемым, то такой ад­министратор должен быть помещен в отдельный лес.

На заметку

В начале существования Active Directory ее границами безопасности считались домены. Администраторы одного леса не обязательно должны были доверять друг другу и могли быть разделены на домены. Однако в бюллетене Microsoft по безопасности MS02-001, вы­пущенном в январе 2002 года, описана уязвимость, названная «Уязвимостью отношения доверия доменов». Эта уязвимость позволяет администратору с помощью атрибута SIDHistory повысить свои полномочия в любом домене леса. Хотя это сделать не просто, это все же возможно. Для защиты от этой атаки можно использовать фильтрацию SID между лесами, но не внутри леса. Таким образом, граница безопасности для Active Directory смещена с до­мена на лес.

Аналогичные записи: Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий

Вы должны быть авторизованы, чтобы разместить комментарий.