Глава 5 Безопасность 125

ма безопасности вычисляет путь доверия между контролле-

рами доверяющего и доверяемого доменов. Стрелки на путях

доверия, показанных на рис. 5-5, отражают направление до-

верия.

В каждое отношение доверия входят только два домена: до-

веряющий и доверяемый.

Типы доверительных отношений

Взаимодействие между доменами осуществляется посредством

доверительных отношений. Доверительные отношения — это

каналы аутентификации, наличие которых необходимо для

доступа пользователей одного домена к ресурсам другого.

• Односторонние доверительные отношения Это однонаправ-

ленный канал аутентификации между двумя доменами. Та-

кие отношения между доменами А и В означают, что пользо-

ватели домена А могут получить доступ к ресурсам домена

В. Однако пользователи из домена В не могут получить

доступ к ресурсам домена А. Односторонние доверительные

отношения могут быть транзитивными или нетранзитивными;

п транзитивные доверительные отношения проходят через

группу доменов, такую как дерево доменов, и формиру-

ют связь между некоторым доменом и всеми доменами,

которые ему доверяют; скажем, если домен А доверяет

домену В, а В доверяет домену С, то А доверяет С; тран-

зитивные отношения могут быть одно- или двусторонними

и необходимы для аутентификации на базе Kerberos и

репликации Active Directory;

п нетранзитивные доверительные отношения ограничены

двумя доменами; например, хотя домен А доверяет до-

мену В, а домен В доверяет домену С, доверительные

отношения между А и С отсутствуют; нетранзитивные

отношения могут быть одно- или двусторонними.

• Двусторонние доверительные отношения Все доверитель-

ные отношения между доменами в лесу Windows .NET яв-

ляются двусторонними и транзитивными. При создании

нового дочернего домена между ним и его родительским

доменом автоматически устанавливаются двусторонние тран-

зитивные доверительные отношения. В двусторонних дове-

рительных отношениях домен А доверяет домену В, а В

126 Часть II Новые возможности

доверяет А. Это значит, что запросы на аутентификацию

могут передаваться между этими доменами в обоих направ-

лениях. Двусторонние доверительные отношения могут быть

как транзитивными, так и нетранзитивными.

Доверительные отношения

Домен Windows .NET может устанавливать одно- или двусто-

ронние доверительные отношения с:

• доменами Windows .NET в том же лесу;

• доменами Windows .NET в другом лесу;

• доменами Windows NT 4.0;

• областями (realm) Kerberos V5.

Доверительные отношения между лесами

В Windows Server 2003 администратор может создать довери-

тельные отношения между лесами для расширения двусторонней

транзитивности за пределы данного леса. Иначе говоря, дове-

рительные отношения между лесами позволяют связать два леса

Windows Server 2003 для формирования двусторонних транзи-

тивных доверительных отношений между всеми доменами в

обоих лесах. Доверительные отношения между лесами предо-

ставляют следующие возможности.

• Упрощение управления ресурсами в двух лесах Windows

Server 2003. Доверительные отношения между лесами сокра-

щают число вн'ешних доверительных отношений, необходи-

мых для совместного использования ресурсов с другим лесом.

• Обеспечение двусторонних доверительных отношений между

всеми доменами обоих лесов.

• Расширение сферы действия аутентификации пользователя.

Аутентифицированное имя пользователя может применяться

в обоих лесах.

• Большая доверительность данных авторизации. Для повы-

шения доверительности данных авторизации, передаваемых

между лесами, могут применяться и Kerberos, и NTLM.

• Гибкость администрирования. Совместная работа несколь-

ких администраторовможет быть разделена между админи-

стративными единицами масштаба леса.