Глава 5 Безопасность 125
ма безопасности вычисляет путь доверия между контролле-
рами доверяющего и доверяемого доменов. Стрелки на путях
доверия, показанных на рис. 5-5, отражают направление до-
верия.
В каждое отношение доверия входят только два домена: до-
веряющий и доверяемый.
Типы доверительных отношений
Взаимодействие между доменами осуществляется посредством
доверительных отношений. Доверительные отношения — это
каналы аутентификации, наличие которых необходимо для
доступа пользователей одного домена к ресурсам другого.
• Односторонние доверительные отношения Это однонаправ-
ленный канал аутентификации между двумя доменами. Та-
кие отношения между доменами А и В означают, что пользо-
ватели домена А могут получить доступ к ресурсам домена
В. Однако пользователи из домена В не могут получить
доступ к ресурсам домена А. Односторонние доверительные
отношения могут быть транзитивными или нетранзитивными;
п транзитивные доверительные отношения проходят через
группу доменов, такую как дерево доменов, и формиру-
ют связь между некоторым доменом и всеми доменами,
которые ему доверяют; скажем, если домен А доверяет
домену В, а В доверяет домену С, то А доверяет С; тран-
зитивные отношения могут быть одно- или двусторонними
и необходимы для аутентификации на базе Kerberos и
репликации Active Directory;
п нетранзитивные доверительные отношения ограничены
двумя доменами; например, хотя домен А доверяет до-
мену В, а домен В доверяет домену С, доверительные
отношения между А и С отсутствуют; нетранзитивные
отношения могут быть одно- или двусторонними.
• Двусторонние доверительные отношения Все доверитель-
ные отношения между доменами в лесу Windows .NET яв-
ляются двусторонними и транзитивными. При создании
нового дочернего домена между ним и его родительским
доменом автоматически устанавливаются двусторонние тран-
зитивные доверительные отношения. В двусторонних дове-
рительных отношениях домен А доверяет домену В, а В
126 Часть II Новые возможности
доверяет А. Это значит, что запросы на аутентификацию
могут передаваться между этими доменами в обоих направ-
лениях. Двусторонние доверительные отношения могут быть
как транзитивными, так и нетранзитивными.
Доверительные отношения
Домен Windows .NET может устанавливать одно- или двусто-
ронние доверительные отношения с:
• доменами Windows .NET в том же лесу;
• доменами Windows .NET в другом лесу;
• доменами Windows NT 4.0;
• областями (realm) Kerberos V5.
Доверительные отношения между лесами
В Windows Server 2003 администратор может создать довери-
тельные отношения между лесами для расширения двусторонней
транзитивности за пределы данного леса. Иначе говоря, дове-
рительные отношения между лесами позволяют связать два леса
Windows Server 2003 для формирования двусторонних транзи-
тивных доверительных отношений между всеми доменами в
обоих лесах. Доверительные отношения между лесами предо-
ставляют следующие возможности.
• Упрощение управления ресурсами в двух лесах Windows
Server 2003. Доверительные отношения между лесами сокра-
щают число вн'ешних доверительных отношений, необходи-
мых для совместного использования ресурсов с другим лесом.
• Обеспечение двусторонних доверительных отношений между
всеми доменами обоих лесов.
• Расширение сферы действия аутентификации пользователя.
Аутентифицированное имя пользователя может применяться
в обоих лесах.
• Большая доверительность данных авторизации. Для повы-
шения доверительности данных авторизации, передаваемых
между лесами, могут применяться и Kerberos, и NTLM.
• Гибкость администрирования. Совместная работа несколь-
ких администраторовможет быть разделена между админи-
стративными единицами масштаба леса.