Модель создания интегрированных лесов

Одним из новых свойств реализации Active Directory в Windows Server 2003 являет­ся добавление транзитивных доверительных отношений между лесами. По существу это позволяет устанавливать транзитивные доверительные отношения между двумя лесами с совершенно раздельными схемами, позволяющими пользователям разных лесов совместно использовать информацию и выполнять аутентификацию.

Однако способность осуществлять доверительные отношения и синхронизацию между лесами не возникает автоматически, поскольку функциональность каждого леса нужно сначала довести до уровня функциональности Windows Server 2003. Это означа­ет, что сначала в каждом лесу нужно модернизировать все контроллеры доменов до уровня Windows Server 2003, а потом можно будет устанавливать доверительные от­ношения между лесами. Это может оказаться трудной задачей для организаций, кото­рые уже развернули у себя Windows 2000. Следовательно, модель создания интегриро­ванного леса легче создавать, если структуры Active Directory еще нет. Модель создания интегрированного леса идеальна для двух различных ситуаций. Одна из них — это объединение двух несопоставимых структур Active Directory, необ­ходимость которого возникает при приобретениях, слияниях и других видах измене­ний организационной структуры корпорации. В этих случаях для обмена информаци­ей необходима связь между двумя лесами AD. Например, при слиянии двух крупных организаций с сильно заполненными лесами Active Directory можно воспользоваться этой возможностью и соединить их среды, без необходимо­сти применения сложных средств миграции доменов.

Теперь в данном примере пользователи из обоих лесов имеют доступ к информа­ции, находящейся в другом лесу, с помощью двунаправленного доверительного отно­шения, установленного между корнями этих лесов. Второй тип ситуации, в которой может быть выбрана эта форма структуры леса — ко­гда различным подразделениям и филиалам организации требуется абсолютная безо­пасность и владение информационной структурой, но нужен также и обмен информаци­ей. Например, в организации, связанной с авиацией, могут быть созданы два леса AD: один для гражданского отделения, а другой — для военного. Это эффективно разделит две среды, предоставив каждому отделению полный контроль над своей средой. Можно установить одно- или двунаправленные доверительные отношения между лесами, чтобы облегчить обмен и синхронизацию информации между этими двумя лесами.

Этот тип создания иногда порождается необходимостью полной изоляции безо­пасности между различными подразделениями организации. Со времени появления Active Directory в Windows 2000 обнаружено несколько уязвимостей междоменной безопасности, которые сместили реальную границу безопасности на уровень леса. В частности, с помощью атрибута SIDHistory администратор доверяемого домена леса может имитировать и, следовательно, получить доступ к ролям администратора схемы и администратора предприятия. Памятуя об этих уязвимостях, некоторые организа­ции могут разделить леса и просто установить доверительные отношения между леса­ми, специально для снятия с пользователей атрибута SIDHistory. Между гражданским и военным отделениями авиационной организации установлено однонаправленное доверительное отношения между лесами с фильтра­цией SIDHistory. Структура, созданная в этом примере, допускает только доверие к учетным записям военного отделения со стороны гражданского отделения, то есть предоставляет пользователям военного отделения доступ к файлам из обоих лесов. Как и в случае доменов NT, доверительные отношения между лесами по умолчанию устанавливаются однонаправленными. Но в отличие от доверительных отношений NT, доверительные отношения между лесами в Windows Server 2003 могут быть тран­зитивными, если оба леса выполняются на функциональных уровнях Windows Server 2003. Чтобы установить двунаправленные транзитивные доверительные отношения, необходимо установить между двумя корнями леса два однонаправленных довери­тельных отношения.

Аналогичные записи: Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий

Вы должны быть авторизованы, чтобы разместить комментарий.