Служба каталогов Active Directory в Windows 2000 Server - Администрирование доменов в Active Directory. Часть I. Доверительные отношения - оснастка Active Directory and Trusted
ОГЛАВЛЕНИЕ
Администрирование доменов в Active Directory. Часть I. Доверительные отношения - оснастка Active Directory and Trusted
Почему назван этот раздел - Администрирование доменов в Active Directory. Часть I? Потому как в этом разделе мы рассмотрим только вопрос доверительных отношений между доменами.
После установки контроллера домена в меню Пуск|Программы|Администрирование появится целый ряд оснасток Active Directory:
В сегодняшнем уроке нас интересует оснастка Active Directory домены и доверие (Active Directory Domains and Trusts). Скажем несколько слов о доверительных отношениях.
Принципиальное отличие доменов Windows 2000 от доменов Windows NT 4.0 заключается в том, что все домены Windows 2000 связаны между собой транзитивными доверительными отношениями, созданными с использованием протокола Kerberos, о нем мы поговорим позже. Эти отношения устанавливаются по умолчанию, автоматически, и являются двунаправленными. Под транзитивностью подразумевается тот факт, что все домены в дереве доверяют друг другу: т. е. если домен А доверяет домену Б, а домен Б доверяет домену В, то домен А также доверяет домену В. Такой подход упрощает администрирование доменов при сохранении высокого уровня безопасности.
В Windows 2000 помощью оснастки Active Directory домены и доверие администратор может просматривать все деревья доменов в лесу и управлять доменами, а также устанавливать доверительные отношения между доменами и настраивать режим работы домена (смешанный, mixed, или основной, native).
Данная оснастка позволяет конфигурировать дополнительные суффиксы основных имен пользователей (User Principal Name, UPN) для всего леса, которые облегчают пользователям процесс регистрации в Active Directory.
Суффиксы основных имен пользователей соответствуют стандарту RFC 822, принятому в Internet. Иногда их называют почтовыми адресами. По умолчанию суффикс леса совпадает с его DNS-именем.
Оснастку Active Directory домены и доверие можно запустить стандартным способом, подключив ее к консоли управления ММС, либо выбрав команду Пуск|Программы|Администрирование|Active Directory домены и доверие (Start|Programs|Administrative Tools|Active Directory Domains and Trusts). После загрузки оснастки Active Directory домены и доверие появляется окно, показанное на рисунке.
Для добавления дополнительных суффиксов UPN необходимо выполнить следующее:
1. Указать корневой узел оснастки Active Directory домены и доверие и нажать правой кнопкой мыши. В появившемся контекстном меню выбрать команду Свойства (Properties).
2. В открывшемся окне диалога введите дополнительные суффиксы UPN, нажимая кнопку Добавить (Add).
Изменение режима работы домена windows
Как мы уже указывали ранее, домены Windows 2000 могут работать в одном из двух режимов:
Смешанный режим (mixed mode) предполагает возможность одновременной работы контроллеров домена, основанных как на операционной системе Windows 2000 Server, так и на более ранних версиях Windows NT Server. Этот режим позволяет выполнять некоторые функции, характерные для более ранних версий Windows NT, и запрещает выполнение некоторых функций, характерных для Windows 2000.
Основной режим (native mode) предполагает, что все контроллеры домена работают в операционной системе Windows 2000 Server, при этом все клиентские компьютеры должны иметь поддержку (установленный на них клиент) Active Directory (это касается систем Windows 9x и Windows NT 4.0). В этом режиме можно применять такие новые средства, как универсальные группы, вложенные группы и т. д.
По умолчанию домен Windows 2000 начинает работать в смешанном режиме. При необходимости режим работы домена можно изменить на основной. Однако обратный переход невозможен.
Для перехода к основному режиму необходимо:
Указать домен, режим которого необходимо изменить, и нажать правую кнопку мыши. В открывшемся окне диалога выбрать команду Свойства.
На вкладке Общие (General) окна свойств домена нажать кнопку Сменить режим (Change Mode). После изменения режима перезапустите контроллер домена
Управление доверительными отношениями
Доверительные отношения, применявшиеся в сетях Windows NT 4.0, полностью поддерживаются в сетях Windows 2000.
Они могут быть использованы для создания однонаправленного доверия между доменами Windows 2000 в дереве каталога и другими доменами, находящимися за границей вашего леса, которые могут быть образованы серверами Windows 2000, Windows NT 4.0 или более ранних версий. Это поможет поддерживать существующую инфраструктуру при переходе на сеть, полностью основанную на Active Directory.
При создании нескольких доменов в одном дереве Active Directory автоматически устанавливаются междоменные двунаправленные доверительные отношения.
Это значит, что пользователь может, зарегистрировавшись только в одном домене, получить доступ ко всем ресурсам всех доменов дерева. При объединении нескольких деревьев в лес между корневыми доменами каждого дерева также устанавливаются двунаправленные доверительные отношения. В этом случае необходимость дополнительной настройки доверительных отношений не возникает.
Конфигурирование доверительных отношений требуется, если
1) Необходимо установить однонаправленные доверительные отношения (в случае, когда соображения безопасности заставляют исключить возможность общего использования каких-либо ресурсов компьютерной сети).
2) Возникла необходимость в установлении доверительных отношений между доменами, находящимися в различных лесах (организациях).
3) Должны быть установлены доверительные отношения между доменами Windows 2000 и Windows NT 4.
Для образования однонаправленных доверительных отношений необходимо выполнить следующее:
1) Запустить оснастку Active Directory-домены и доверие.
2) Указать домен, который должен принять участие в однонаправленном доверительном отношении, и нажать правую кнопку мыши. В появившемся контекстном меню выбрать команду Свойства.
3) В окне свойств домена перейдите на вкладку Доверия (Trusts).
Если другой домен, участвующий в отношении, должен стать доменом-доверителем (trusting), нужно нажать кнопку Добавить в группе Домены, которые доверяют этому домену (Domains that trust this domain). Если другой домен должен стать доверенным (trusted), нужно нажать кнопку Добавить в группе Домены, которым доверяет этот домен (Domains trusted by this domain).
4) В окне диалога Добавление домена-доверителя (Add Trusting Domain) или Добавление доверенного домена (Add Trusted Domain), соответственно, необходимо укащать имя второго домена, принимающего участие в однонаправленном доверительном отношении, пароль для регистрации в указанном домене и затем подтвердить его.
После нажатия кнопки ОК появится окно сообщения о том, что доверительное отношение не может быть проверено, поскольку не установлена вторая половина доверительного отношения.
5) Установить в окне оснастки указатель мыши на домен, который является второй стороной в доверительном отношении и имя которого было указано ранее на вкладке Доверия, и нажать правую кнопку мыши. В появившемся контекстном меню выбрать команду Свойства.
6) Повторить шаги 3 и 4, имея в виду, что роль домена изменилась на противоположную: если первый домен был доверителем, то второй домен должен быть доверенным, и наоборот.
После окончания конфигурирования нажать кнопку ОК.
Появится окно сообщения об успешном создании однонаправленного доверительного отношения
Для создания двунаправленного доверительного отношения между доменами, находящимися в различных лесах, следует повторить описанную выше процедуру, но поменять роли доменов. Тот домен, который был доверенным, должен стать доверителем, и наоборот.
Для создания доверительного отношения между доменами Windows 2000 и Windows NT 4.0 действия нам уже знакомы:
На главном контроллере (PDC) существующего домена Windows NT 4.0 с помощью утилиты User Manager for Domain (Диспетчер пользователей для домена) в меню Policies (Политики)->Trust Relationships (Доверительные отношения) добавить в список Trusting Domains (Домены-доверители) необходимые данные.
Теперь домен Windows 2000 доверяет существующему домену Windows NT 4.
Однако конфигурирование доверительного отношения не завершено до тех пор, пока домен, основанный на Windows 2000 Server, не подтвердит пароль.
Для этого на контроллере домена Windows 2000 запускается оснастка Active Directory - домены и доверие.
Указывается имя домена-доверителя и в окне свойств домена на вкладке Доверия по нажатию кнопки Добавить, расположенной рядом со списком Домены, которым доверяет этот домен, ввести имя существующего главного контроллера домена Windows NT 4.0 и тот же пароль, что был введен ранее.
По нажатию ОК, откроется окно сообщения об успешности завершения установки доверительного отношения.
Для проверки доверительного отношения зарегистрируйтесь на компьютере, входящем в домен Windows 2000, под учетной записью пользователя, существующей на главном контроллере домена Windows NT 4.0. Если этот шаг завершился успешно, доверительное отношение установлено правильно
Таким образом, мы с вами научились способам установки контроллеров домена, а далее займемся процессом управления его работой.