Зворотний зв'язок

Довірчі домени мережі Windows NT

Перш ніж розповідати про довірчі домени ОС Windows NT, необхідно ознайомитись з моделями побудови мереж на базі цієї ОС, оскільки поняття “довірчі домени" не можливо розуміти без хоча б уяви про моделі побудови мереж.

Мережеві моделі:

Робочі групи і домени

У мережах NT основі Windows NT використовуються дві моделі побудови мереж: модель робочих груп (workgroup model) і доменна модель(domain model). Ми розглянемо їх відмінності і поговоримо про довірчі відносини (trust relationships) між доменами, що дозволяють спростити управління великою мережею з безліччю доменів.

Модель робочих груп

Робоча група (workgroup) це організаційна одиниця, що являє собою набір згрупованих разом комп'ютерів. Робочі групи дозволяють об'єднувати робочі станції, що не входять в домен (domain). У кожного комп'ютера з Windows NT є своя база облікових записів і своя політика захисту.

Адміністрування робочої групи аналогічно адмініструванню одного комп'ютера. Всі адміністративні дії, що виконуються застосовуються тільки до однієї робочої станції.

Навіщо ж така організація потрібна, що вона дає? Відповідь проста. З позиції користувача, це простий спосіб візуального групування комп'ютерів при перегляді ДОСТУПНИХ мережевих ресурсів. Користувачеві легше здійснювати доступ до комп'ютерів в своїй групі на екрані вони зібрані в одному місці. При цьому незалежно від того, скільки реально комп'ютерів у відділі або підрозділі, користувач має справу тільки з цією групою і не тратить час на пошуки потрібного.

Окрема робоча станція на основі Windows NT окремий випадок робочої групи, що складається з одного комп'ютера. При цьому може навіть не бути постійних зв'язків даної робочої станції з іншими комп'ютерами. Це не самий популярний спосіб роботи в Windows NT, але іноді виникає необхідність в індивідуальному захисті кожної робочої станції. На відміну від інших операційних систем (на зразок MS-DOS або OS/2) окремий комп'ютер Windows NT володіє вбудованою процедурою реєстрації і контролю доступу.

Доменна модель

По мірі зростання управління робочою групою ускладнюється внаслідок повної децентралізації баз облікових записів і засобів захисту. Для забезпечення надійного захисту і спрощення управління мережею Windows NT Server пропонує доменну модель захисту.

Доменом називається сукупність комп'ютерів, що характеризується наявністю загальної бази облікових записів користувачів і єдиної політики захисту. Централізовані засоби управління обліковими записами користувачів політикою захисту дозволяють адміністратору ефективно підтримувати захист системи в рамках відділу, підрозділу і всього підприємства.

У кожного домена є своє унікальне ім'я, яке відображає або його функціональне призначення (скажемо. DEVELOPERS_DOM), або місцезнаходження (MOSCOW_EAST), або щось, зрозуміле користувачу (НА ЗРАЗОК MASTER_DOM1). Російські(українські) символи в імені домена використати не можна, оскільки це може викликати проблеми сумісності.

Довірчі відносини

У доменній моделі захист реалізовується з допомогою Windows NT Server встановленням довірчих відносин. Так називається зв'язок між доменами, що дозволяє користувачам одного домена дізнатися про користувачів і ресурси іншого. У довірчих відносинах беруть участь довіряючий домен (trusting domain) і доверюваний домен (trusted domain). Довіряючий домен розпізнає облікові записи всіх користувачів і груп користувачів довірюваного домена. Ці облікові записи можна вмістити в локальні групи довіряючого домена для призначення ним прав і привілеїв.

Довірчі відносини дозволяють користувачеві, що має обліковий запис в одному домені, здійснювати доступ ДО ресурсів всієї мережі.

Довірчі відносини - це, по суті, адміністративні і комунікаційні зв'язки. Коли вони встановлені, користувачі одного домена мoжуть ЗВЕРТАТИСЯ до ресурсів іншого. І все ж в більшій мірі такі відносини засіб адміністрування, а не параметр, що привласнюється системою користувачеві і їх треба розглядати з точки зору адміністрування облікових записів, але не як можливість використання ресурсів.

Довірчі відносини спрощують адміністрування мережі шляхом об'єднання двох І більше доменів в один адміністративний вузол. Допустимо, ПРИ наявності чотирьох доменов стандартна схема передбачає чотири різні бази SAM з роздільним адмініструванням. Встановивши ж між доменами довір'я, ви обійдетеся однією базою і невеликою кількістю груп.

Підкреслимо: перша перевага довірчих відносин в тому, що користувач отримує доступ до всіх ресурсів мережі, не виконуючи додаткової реєстрації. Друге: адміністратор мережі може управляти всією мережею з одного місця. Для встановлення довірчих відносин необхідно, щоб до складу мережі входив Windows NT Server.

Типи довірчих відносин

Існує два типи довірчих відносин між доменами: односторонні (one-way trust) і двосторонні (two-way trust):

При односторонніх користувачі тільки одного домена (довірюваного) мають доступ ДО ресурсів іншого (що довіряє).При двосторонніх обидва домена є і довіряючими, і довірюваними. У користувачів будь-якого з доменів є доступ до ресурсів іншого домена.

Між декількома доменами можуть встановлюватися множинні довірчі відносини. Наприклад, декілька доменов можуть довіряти одному (в якому зберігаються облікові записи всіх користувачів), або один домен може довіряти відразу декільком доменам, при цьому будь-які відносини довір'я можуть бути як двосторонніми, так і односторонніми.

Надалі на малюнках довірчі відносини означаються стрілками. Домени, на які вони вказують, довірювані (в них зберігаються облікові записи). А виходити стрілки будуть від довіряючих доменов (в них знаходяться ресурси). Образно кажучи, стрілки вказують на "людей", яким можна довіряти.

Довірчі відносини можна представити так. Допустимо, ви зібралися у відрядження, а вдома у вас квіти, які треба поливати. Ви даєте сусіду ключі від квартири. У Вашу відсутність він безперешкодно входить до Вас в будинок. поливає квіти, дивиться телевізор і т.п. Ви ж позбавлені можливості без його дозволу попасти в його квартиру свого-то ключа він вам не давав!

Але якщо сусід також часто буває у відсутності, а вдома у нього кіт, якого треба годувати, то йому нічого не залишається, як дати ключ від своєї квартири вам. І тоді ви також зможете безперешкодно входити в його квартиру. Це приклад двосторонніх відносин довір'я. Суворо кажучи, приклад не зовсім коректний - ресурси довіряючого домена доступні постійно. (У розглянутому прикладі навіть коли ви вдома і приймаєте пані, а сусід вривається з лійкою в самий невідповідний момент.)

Роль довірчих відносин в мережі надзвичайно важлива. Незалежно від того, в якому місці мережі він реєструється, користувач може указати не тільки своє ім'я, але і домен, до якого належить. Так що він і доступ в мережу отримає, і збереже всі привілеї і права, якими володіє в своєму домені.

Встановлюючи довірчі відносини, спочатку визначте, де будуть знаходитися облікові записи користувачів, - адже користувачі, що мають облікові записи в довірюваному домені, дістане ті ж права і привілеї в довіряючому домені.

Оскільки довірчі відносини насамперед засіб адміністрування облікових записів користувачів, визначте домен облікових записів (account domain), а потім дозвольте в ньому іншим доменам довіряти йому.

Будь-який домен може ініціювати встановлення довірчих відносин, але завершити встановлення можна тільки реалізацією таких відносин в обох доменах. Для цього призначена команда Trust Relationships з меню Policies в User Manager for Domains.

Діалогове вікно Trust Rеlationships.

У зображеному на малюнку діалоговому вікні два списки. У верхньому перераховані довірювані домены, в нижньому - довіряючі. Домен MOW-DEMO-M є таким, що довіряє для доменов CENTRALEUROPE, RUS-MOSCOW, WINEXPO95. Він же довірюваний для тих же доменів. Отже, це двосторонні довірчі відносини.

На малюнку представлені приклади обох типів довірчих відносин:

Односторонні:

Ресурси Облікові записи

Двосторонні:

Адміністратор великої мережі завжди повинен мати повну інформацію про стан домена і його зв'язків з іншими. Адже від того, як здійснюється синхронізація між базами облікових записів на контроллерах домена, і від можливості контроллера одного домена зв'язатися з контроллерами довірюваних доменів до ресурсів інших доменів і реєстрацію в них. Отримати таку інформацію допоможе утиліта Domain Monitor з Windows NT Resource Kit, що дозволяє відстежувати стан відразу декількох доменів.

Діалогове вікно Domain Controller Status.

На приведеному малюнку показана досить довірюваних для функціонування системи ситуація. Добре видно, що частина резервних контроллерів домена вже не існує фізично, але продовжує рахуватися в домене; з деякими контроллерами немає зв'язку і спостерігається розсинхронізація; для багатьох довірюваних доменов навіть невідоме ім'я їх РDС, а доступ до них заборонений.


Реферати!

У нас ви зможете знайти і ознайомитися з рефератами на будь-яку тему.







Не знайшли потрібний реферат ?

Замовте написання реферату на потрібну Вам тему

Замовити реферат