Книга Active directory
.pdfI 623 Домены и леса |
Глава 12 |
Ответ на контрольный вопрос
• Аудиторам необходимо назначить разрешение Разрешено проверить подлинность (Allowed То Authenticate) для объекта компьютера SERVER32. Вы также должны предоставить аудиторам разрешения'доступа NTFS к общей папке.
Практические занятия. Администрирование доверия
В приведенных далее упражнениях предлагается создать и обеспечить безопасность, атакже заняться администрированием доверия между доменами contoso.com и tailspintoys.com. В этом сценарии компания Contoso, Ltd формирует доверие к компании Tailspin Toys. Команде разработчиков продукта в компании Tailspin Toys нужен доступ к общей папке в домене к о м п а н и и Contoso. П р е ж д е чем приступить к этим упражнениям, нужно в ы п о л н и т ь у п р а ж н е н и я занятия 1. У вас должны быть установлены два контроллера домена: один в домене леса contoso.com, а второй — в домене леса tailspintoys.com.
Упражнение 1. Настройка DNS
Прежде чем создать доверительные отношения, н у ж н о корректно отконфигурировать DNS. Каждый домен должен иметь возможность разрешать имена в другом домене. Настройка разрешения имен описана в главе 9. Существует несколько способов поддержки разрешения имен между д в у м я лесами. В этом упражнении требуется создать в домене contoso.com зону-заглушку для домена tailspintoys.com, атакже сервер условной пересылки в домене tailspintoys.com для разрешения имен contoso.com.
1. Войдите на машину SERVER01.contoso.com под учетной записью Администратор (Administrator).
2.В программной группе Администрирование (Administrative Tools) откройте Диспетчер DNS (DNS Manager).
3. Разверните объект SERVER01 и выберите контейнер З о н ы прямого просмотра (Forward Lookup Zones).
4.Щелкните правой кнопкой мыши контейнер Зоны прямого просмотра и выполните команду Создать новую зону (New Zone).
Откроется страница приветствия Мастера создания новой зоны (Welcome То The New Zone Wizard).
5. Щелкните Далее (Next). Откроется страница Тип зоны (Zone Туре). 6. Выберите тип Зона-заглушка (Stub Zone) и щелкните Далее (Next).
Откроется страница Область репликации зоны, интёгрированной в Active Directory (Active Directory Zone Replication Scope).
7. Щелкните Далее (Next). Откроется страница Имя зоны (Zone Name).
8.Введите имя tailspintoys.com и щелкните Далее (Next). Откроется страница Основные DNS-серверы (Master DNS Servers).
9.Введите адрес 10.0.0.111 и нажмите клавишу Tab.
[ Занятие 2 |
Управление множеством доменов и доверительными связями |
§ 0 1 |
10.Установите ф л а ж о к Использовать эти серверы для создания локального списка основных серверов (Use The Above Servers To Create A Local List
Of Master Servers). Щ е л к н и т е Далее (Next), а затем Готово (Finish).
11.Войдите на компьютер SERVERTST.tailspintoys.com как Администратор (Administrator).
12.В программной группе Администрирование (Administrative Tools) откройте Диспетчер D N S ( D N S Manager) .
13. |
Разверните |
объект |
S E R V E R T S T . |
14. |
Щ е л к н и т е |
п р а в о й |
к н о п к о й м ы ш и папку Серверы условной пересылки |
|
(Conditional Forwarders) и выполните команду Создать условную пере- |
||
|
сылку (New Conditional Forwarder). |
15. В поле DNS - домен ( D N S Domain) введите имя contoso.com.
16.Выберите строку < Щ е л к н и т е здесь, чтобы добавить IP-адрес или DNSимя>, и введите адрес 10.0.0.11.
17. |
Установите ф л а ж о к С о х р а н я т ь условную пересылку в Active Directory |
|
и реплицировать ее следующим образом (Store This Conditional Forwarder |
|
In Active Directory, And Replicate It As Follows). |
18. |
Щ е л к н и т е O K . |
Упражнение 2. Создание доверия
Создайте доверие, чтобы р а з р е ш и т ь проверку подлинности пользователей Tailspin Toys в домене Contoso.
1.Пользователям в домене tailspintoys.com требуется доступ к общей папке в домене contoso.com. Ответьте на следующие вопросы.
•Какой домен является доверяющим, а какой — доверенным?
•Какой домен содержит исходящее доверие, а какой — входящее? Ответ. Д о м е н contoso.com является доверяющим доменом с исходящим доверием к доверенному домену tailspintoys.com с входящим доверием.
2. Войдите на компьютер S E R V E R 0 1 как администратор домена contoso.com.
3.В программной группе Администрирование (Administrative Tolls) откройте оснастку Active Directory — домены и доверие (Active Directory Domains And Trusts).
4. Щелкните правой кнопкой мыши домен contoso.com и выполните команду Свойства (Properties).
5. Перейдите на вкладку Доверия (Trusts).
6. Щелкните кнопку Создать доверие (New Trusts). Откроется страница приветствия Мастер создания отношения доверия (Welcome То The New Trust Wizard).
7. Щелкните Далее (Next). Откроется страница Имя доверия (Trust Name).
8.В поле И м я (Name) введите имя tailspintoys.com. Щелкните Далее (Next). Поскольку вы не конфигурировали DNS на компьютере SERVER01 для пересылки запросов домена tailspintoys.com уполномоченной службе DNS на
I 6 0 2 |
Домены и леса |
Глава 12 |
машине SERVERTST.tailspintoys.com, вы д о л ж н ы применять имя NetBIOS домена tailspintoys.com. В производственной среде на этом этапе рекомен-
'дуется DNS-имя домена. Откроется страница Тип доверия (Trust Туре).
9. Выберите тип Внешнее доверие (External Trust) и щ е л к н и т е Далее (Next). Откроется страница Направление доверия (Direction of Trust).
10.Выберите направление Одностороннее: исходящее (One - way: Outgoing). Щелкните Далее (Next).
11.Выберите опцию Только для данного домена (This Domain Only). Щелк - ните Далее (Next). Откроется страница Уровень п р о в е р к и подлинности исходящего доверия (Outgoing Trust Authentication Level).
12.Выберите уровень Проверка подлинности в домене ( D o m a i n - W i d e Authentication) и щелкните Далее (Next). Откроется страница Пароль доверия (Trust Password).
13.В полях Пароль доверия (Trust Password) и Подтверждение пароля доверия (Confirm Trust Password) введите сложный пароль. Запомните его, поскольку он понадобится для настройки входящего доверия домена tailspintoys.com. Щелкните Далее (Next). Откроется страница В ы б о р д о в е р и я завершен (Trust Selections Complete).
|
14. Просмотрите параметры и щелкните Д а л е е (Next) . Откроется страница |
j |
Создание доверия завершено (Trust Creation Complete) . |
J |
15. Просмотрите состояние изменений. Щ е л к н и т е Д а л е е (Next) . Откроется |
|
страница Подтверждение исходящего доверия (Confirm Outgoing Trust). Не |
|
следует подтверждать доверие, пока не будут созданы обе его стороны. |
|
16. Щелкните Далее (Next). Откроется страница Завершение мастера создания |
|
отношения доверия (Completing The New Trust Wizard). |
|
17. Щелкните кнопку Готово (Finish). |
|
Откроется диалоговое окно с напоминанием о том, что фильтрация S I D |
|
включена по умолчанию. |
|
18. Щелкните ОК. |
|
19. Щелкните ОК, чтобы закрыть диалоговое окно свойств домена contoso.com. |
|
Далее вы завершите создание входящего доверия для домена tailspintoys.com. |
|
20. Войдите на компьютер SERVERTST.tailspintoys.com как администратор |
|
домена tailspintoys.com. |
|
21. В программной группе Администрирование (Administrative Tools) откройте |
|
оснастку Active Directory — домены и доверие (Active Directory Domains |
|
And Trust). |
|
22. Щелкните правой кнопкой мыши домен tailspintoys.com и выберите Свойс- |
|
тва (Properties). |
|
23. Перейдите на вкладку Доверия (Trusts). |
|
24. Щелкните кнопку Создать доверие (New Trusts). Откроется страница при- |
|
ветствия Мастер создания отношения доверия (Welcome То The New Trust |
|
Wizard). |
[ Занятие 2 |
Управление множеством доменов и доверительными связями § |
6 0 3 |
25. Щ е л к н и т е Д а л е е (Next) . Откроется страница Имя доверия (Trust Name).
26.В поле И м я ( N a m e ) введите contoso и щелкните Далее (Next). Откроется страница Тип доверия (Trust Туре).
27.Выберите т и п Внешнее доверие (External Trust) и щелкните Далее (Next). Откроется страница Направление доверия (Direction of Trust).
28.Выберите направление Одностороннее: входящее (One-way: Incoming) и щелкните Далее (Next) . Откроется страница Стороны доверия (Sides of Trust).
29.Выберите опцию Только для данного домена (This Domain Only) и щелкните Далее (Next). Откроется страница Пароль доверия (Trust Password).
30.В поля Пароль доверия (Trust Password) и Подтверждение пароля доверия (Confirm Trust Password) введите пароль, созданный в шаге 13. Щелкните Далее (Next). Откроется страница Выбор доверия завершен (Trust Selections Complete) .
31.Щ е л к н и т е Д а л е е (Next) . Откроется страница Создание доверия завершено (Trust Creation Complete) .
32.Просмотрите состояние изменений. Щелкните Далее (Next). Откроется страница Подтверждение исходящего доверия (Confirm Outgoing Trust).
33.Щелкните Далее (Next). Откроется страница Завершение мастера создания отношения доверия (Completing The New Trust Wizard).
34. Щ е л к н и т е кнопку Готово (Finish).
35.Д л я того чтобы закрыть диалоговое окно свойств домена tailspintoys.com, щелкните О К .
Упражнение 3. Подтверждение доверия
При выполнении шага 33 предыдущего упражнения вам предоставлялась возможность подтвердить доверие. Вы также можете подтвердить существующее доверие. В этом упражнении необходимо подтвердить доверие между доменами contoso.com и tailspintoys.com.
1. Войдите на компьютер SERVER01.contoso.com как администратор домена contoso.com.
2.В программной группе Администрирование (Administrative Tolls) откройте оснастку Active Directory — домены и доверие (Active Directory Domains And Trusts).
3. Щелкните правой кнопкой мыши домен contoso.com и выполните команду Свойства (Properties).
4. Перейдите на вкладку Доверия (Trusts).
5.Выберите tailspintoys.com и щелкните кнопку Свойства (Properties).
6.Щелкните кнопку Проверка (Validate). Появится сообщение о том, что доверие проверено, работоспособно и активно.
7. Щелкните О К .
8. Дважды щелкните ОК, чтобы закрыть диалоговые окна свойств.
I 627 Домены и леса |
Глава 12 |
Упражнение 4. Предоставление доступа доверенным пользователям
Теперь нужно предоставить доступ к общей папке в домене Contoso для производственной команды из домена Tailspin Toys.
1.Создайте следующие объекты:
• глобальную группу Команда продукта в домене tailspintoys.com;
•глобальную группу Разработчики продукта в домене contoso.com;
•локальную группу ACL_Product_Access в домене contoso.com.
2. Создайте папку Проект на диске С компьютера S E R V E R 0 1 .
3. Предоставьте группе ACL_Product_Access разрешение Изменения (Modify) для папки Проект.
4. Откройте оснастку Active Directory — пользователи и компьютеры (Active Directory Users And Computers) для домена contoso.com.
5. Откройте свойства группы ACL_Product_Access. 6. Перейдите на вкладку Члены группы (Members) .
7.Щелкните кнопку Добавить (Add).
8.Введите Разработчики продукта и щелкните О К .
9.Щелкните кнопку Добавить (Add).
10.Введите имя ТАШ5РШТОУ8\Производственная команда и щелкните О К .
Откроется окно Безопасность Windows ( W i n d o w s Security) . Поскольку это доверие одностороннее, ваша учетная запись .администратора домена contoso.com не имеет разрешения на чтение каталога домена tailspintoys.com. Для чтения каталога tailspintoys.com требуется учетная запись в этом домене. Если доверие является двухсторонним, данное сообщение не появится.
11.В поле Имя пользователя (User Name) введите TAILCPINTOYS\AdMUHucm-
ратор.
12.В поле Пароль (Password) введите пароль учетной записи Администратор (Administrator) в домене tailspintoys.com.
13.Щелкните ОК.
Отметим, что две глобальные группы из двух доменов теперь являются членами локальной группы в домене contoso.com, которая имеет доступ к общей папке.
Упражнение 5. Реализация выборочной проверки подлинности
В этом упражнении требуется ограничить возможность пользователей из домена tailspintoys.com проходить проверку подлинности иа компьютерах в домене contoso.com.
1.На компьютере SERVER01.contoso.com откройте оснастку Active Directory — домены и доверие (Active Directory Domains And Trusts).
2.Щелкните правой кнопкой мыши домен contoso.com и выполните команду Свойства (Properties).
3.Перейдите на вкладку Доверия (Trusts).
4.Выберите домен tailspintoys.com и щелкните кнопку Свойства (Properties).
[ Занятие 2 |
Управление множеством доменов и доверительными связями § |
6 0 5 |
5. Перейдите на вкладку Проверка подлинности (Authentication).
6. Щелкните опцию Выборочная проверка подлинности (Selective Authentication) и д в а ж д ы щ е л к н и т е О К .
В режиме выборочной проверки подлинности пользователи из доверенного домена не смогут проходить проверку подлинности на компьютерах в доверяющем домене, даже если имеют разрешение доступа к папке. Доверенные пользователи должны иметь разрешение Разрешено проверить подлинность (Allow То Authenticate) для самого компьютера.
7. Откройте оснастку Active Directory — пользователи и компьютеры (Active
|
Directory Users |
And Computers) для домена contoso.com. |
8. Щ е л к н и т е меню |
Вид (View) и установите флажок Дополнительные ком- |
|
|
поненты (Advanced Features). |
|
9. В дереве консоли выберите подразделение Domain Controllers. |
||
10. |
На панели сведений щ е л к н и т е правой кнопкой мыши контроллер SER- |
|
|
V E R 0 1 и выполните команду Свойства (Properties). |
|
11. |
Перейдите на вкладку Безопасность (Security). |
|
12. |
Щ е л к н и т е кнопку Добавить (Add). |
13.Введите имя TAILSPINTOYS\KoM.anda продукта и щелкните ОК. Откроется диалоговое окно Безопасность Windows (Windows Security). Поскольку это доверие одностороннее, ваша учетная запись администратора домена contoso.com не имеет разрешения на чтение каталога домена tailspintoys. com. Д л я чтения каталога tailspintoys.com требуется учетная запись в этом домене. Если доверие двухстороннее, данное сообщение не появится.
14.В поле Имя пользователя (UserName) введите TAILSPINTOYS\AdMUHUcmpamop.
15.В поле Пароль (Password) введите пароль учетной записи Администратор (Administrator) домена tailspintoys.com.
16.Щелкните О К .
17. В списке р а з р е ш е н и й д л я команды продукта установите флажок Разрешить (Allow) д л я разрешения Разрешено проверить подлинность (Allow То Authenticate) и щелкните О К .
Теперь команда продукта из домена tailspintoys.com может проходить проверку подлинности на компьютере SERVER01 и получит разрешение доступа к общей папке через членство в группе ACL_Product_Access. Эти пользователи не могут проходить проверку подлинности на других компьютерах домена contoso.com, даже если группе назначены разрешения доступа к папкам на этих компьютерах. Кроме того, другие пользователи из домена tailspintoys.com не смогут получать доступ к ресурсам на компьютере SERVER01.contoso.com.
Резюме
• Лес Active Directory рекомендуется проектировать из одного домена. Однако в некоторых случаях по причинам требований, в частности, связанных с репликацией контекста именования доменов, может понадобиться создать в лесу множество доменов.
I 606 |
Домены и леса |
|
|
Глава 12 |
• Средство миграции Active |
Directory |
(Active |
D i r e c t o r y M i g r a t i o n Tool, |
|
ADMT) используется для |
миграции |
объектов |
между д о м е н а м и внутри |
леса и между лесами. При перемещении в другой домен учетная запись получает новый SID-идентификатор. И д е н т и ф и к а т о р SID исходной учетной записи можно добавить в атрибут sIDHistory конечной учетной записи, чтобы новая учетная запись получила доступ к ресурсам с разрешениями, назначенными для SID предыдущей учетной записи. Средство A D M T при выполнении миграции также поддерживает членство в группах.
•Доверительные связи позволяют пользователям в доверенном домене проходить проверку подлинности на компьютерах, относящихся к доверяющему домену и добавлять их в локальные группы в домене и л и предоставлять доступ к ресурсам в доверяющем домене.
•Внутри леса между каждым дочерним и родительским доменами, а также между каждым корневым доменом дерева и корневым доменом леса устанавливаются двухсторонние транзитивные доверительные отношения. Для того чтобы улучшить проверку подлинности внутри леса, можно создавать прямые доверительные связи.
•Доверительные отношения можно устанавливать с в н е ш н и м и доменами, лесами и сферами Kerberos v5. Эти доверительные отношения могут быть односторонними и двухсторонними. Доверительные отношения Kerberos v5 могут быть транзитивными и нетранзитивными. Доверительные отношения леса всегда являются транзитивными, а внешние доверительные отношения — нетранзитивными.
• Выборочная проверка подлинности п о з в о л я е т у п р а в л я т ь д о в е р е н н ы м и пользователями и группами, которым разрешено проходить проверку подлинности на компьютерах в доверяющем домене.
•Карантин домена, который также называется фильтрацией SID, по умолчанию включен для всех внешних доверительных связей и отношений между лесами. Он запрещает доверенным пользователям представлять в своих данных авторизации SID-идентификаторы из других доменов, кроме основного домена учетной записи.
Закрепление материала
Приведенные далее вопросы предназначены для проверки знаний, полученных на занятии 2 (эти вопросы содержатся и на сопроводительном компакт-диске).
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями, почему тот или иной вариант является правильным или неправильным, вы найдете в разделе «Ответы» в конце книги.
1. Являясь администратором в компании Wingtip Toys, которая недавно приобрела компанию Tailspin Toys, вы планируете реструктурировать леса двух компаний и переместить все объекты в домен wingtiptoys.com. А пока нужно разрешить пользователям в доменах wingtiptoys.com и europe.wingtiptoys. com входить на все компьютеры в домене tailspintoys.com. Какое доверие