[ Pobierz całość w formacie PDF ]
.Operacja tapodobna jest do promowania pomocniczego kontrolera domeny do kontrolera podsta-wowego.Wszystkie aktualizacje Active Directory wpÅ‚ywajÄ… na atrybuty SAM sÄ…one zapisywane tylko w kontrolerze peÅ‚niÄ…cym rol¹ wzorca, a nast¹pnie replikowane doklasycznych pomocniczych kontrolerów domeny.Domena zawierajÄ…ca klasyczne kontrolery pomocnicze nosi nazw¹ trybu mieszanego.W trybie mieszanym grupy zabezpieczeÅ„ sÄ… ograniczane wymaganiami klasycznegosystemu NT.Grupy globalne nie mogÄ… być zagnieżdżane w innych grupach tego typu,grupy lokalne nie mogÄ… być zagnieżdżane w innych grupach lokalnych, a grupy lokalnez zaufanych domen nie mogÄ… być używane jako priorytety zabezpieczeÅ„ w zaufanychdomenach.u n h uGdy wszystkie kontrolery pomocnicze domeny zostanÄ… zaktualizowane dla potrzebWindows 2000, zostaje ona okreÅ›lona mianem domeny trybu macierzystego.W takiejsytuacji komputery domeny mogÄ… w peÅ‚ni brać udziaÅ‚ w przechodnich relacjach zaufa-nia Kerberos, umożliwiajÄ…c w ten sposób wi¹kszÄ… elastyczność zarzÄ…dzania systemem.Poniżej przedstawione zostaÅ‚y zasady zarzÄ…dzania grupami w trybie macierzystym do-meny Windows 2000.Lokalne grupy domeny.Stosowane przy wstecznej zgodnoÅ›ci z klasycznymsystemem NT.CzÅ‚onkami lokalnych grup domeny mogÄ… być użytkownicy domenylokalnej oraz użytkownicy, grupy globalne i grupy uniwersalne zaufanych domen.Lokalna grupa domeny może być używana do kontrolowania dost¹pu do obiektówzabezpieczeÅ„ tylko we wÅ‚asnej domenie lokalnej.I tak np.lokalna grupa domenyw domenie Company.com nie może być delegowana do kontroli domenyBranch.Company.com.Grupy globalne.Używane sÄ… do kontroli dost¹pu do lokalnych zasobów w domenie.CzÅ‚onkami grupy globalnej mogÄ… być tylko użytkownicy i grupy globalne wÅ‚asnejdomeny.Grupa globalna może być używana do kontrolowania dost¹pu do obiektówzabezpieczeÅ„ w domenie lokalnej i domenach zaufanych.Na przykÅ‚ad grupaglobalna w domenie Company.com może być delegowana do kontrolowania domenyBranch.Company.com, zakÅ‚adajÄ…c, że pomi¹dzy domenami istnieje relacja zaufania.Grupy uniwersalne.Używane sÄ… do kontrolowania dost¹pu do zasobów pomi¹dzygranicami domen.Grupy uniwersalne dost¹pne sÄ… tylko w domenach tryburodzimego.CzÅ‚onkiem grupy uniwersalnej może być czÅ‚onek indywidualnypochodzÄ…cy z dowolnej domeny oraz globalne i uniwersalne grupy z domenzaufanych.Grupa uniwersalna może być używana do kontrolowania dost¹pudo obiektów zabezpieczeÅ„ w dowolnej zaufanej domenie.Różnica pomi¹dzy grupami globalnymi i uniwersalnymi polega na sposobie ich prze-chowywania w katalogu.Obiekt katalogu dla priorytetów zabezpieczeÅ„ (użytkowników,komputerów, grup) posiada atrybut Member-Of.Atrybut ten zawiera wyróżnionÄ… nazw¹każdej lokalnej domeny i grupy globalnej, do której należy użytkownik.Poniżej przed-stawiona zostaÅ‚a lista wpisów Member-Of użytkownika o nazwie Company User, któryjest czÅ‚onkiem trzech grup.Lista zostaÅ‚a zestawiona za pomocÄ… narz¹dzia LDIFDE,omówionego wczeÅ›niej.Po zalogowaniu użytkownika sprawdzany jest atrybut Member-Of.Skanowany jest lo-kalny kontekst nazw w celu znalezienia grup, których czÅ‚onkiem jest dany użytkownik.Wszystkie informacje zawarte sÄ… w powiÄ…zanym z obiektem grupy atrybucie Member.Poniżej przedstawiony jest przykÅ‚ad dla grupy Administrators, uzyskany również zapomocÄ… narz¹dzia LDIFDE:AÄ…czenie wsteczneParowanie atrybutów Member/Member-Of jest dość powszechnÄ… operacjÄ… dokonywanÄ…w katalogu, istnieje wiele tego typu par.Informacja przechowuje Å‚Ä…cze dla drugiej bazydanych bazy LINK, która Å›ledzi parowanie.Jeden ze skÅ‚adników bazy sprawdza jejzgodność wedÅ‚ug ustalonego harmonogramu (czynność ta wykonywana jest w tle).Istnieje również możliwość rÄ™cznego sprawdzenia zgodnoÅ›ci za pomocÄ… narzÄ™dziaNTDSUTlL, poprzez wykonanie tzw.Å‚Ä…czenia wstecznego.u n 000Rysunek 8.7 przedstawia schemat lasu domen trybu rodzimego.Gdyby byÅ‚y one kla-sycznymi domenami NT albo domenami Windows 2000 trybu mieszanego, relacja za-ufania pomi¹dzy domenÄ… Subsidiary i Office mogÅ‚aby być niewidoczna dla Branchi Company.W takiej sytuacji aby uzyskać dost¹p do folderu w podrz¹dnej domenieBranch, użytkownik Auditor potrzebowaÅ‚by konta w domenie Company.Po przeniesie-niu domen do trybu macierzystego i utworzeniu w peÅ‚ni przechodnich relacji zaufaniaKerberos, administrator w domenie Branch mógÅ‚by umieÅ›cić użytkownika Auditor naliÅ›cie kontroli dost¹pu do danego folderu albo grupy lokalnej w domenie Branch.un 8Las domentrybu rodzimegoPrzechodzÄ…c do trybu macierzystego niszczysz ostatni pomost Å‚Ä…czÄ…cy Ci¹ z klasycz-nym systemem NT.Jeżeli z jakichÅ› powodów b¹dziesz musiaÅ‚ skorzystać z klasycznychpodstawowych i pomocniczych kontrolerów domeny, b¹dzie to niemożliwe, chyba żeprzywrócisz je z kopii bezpieczeÅ„stwa.Wi¹cej informacji na temat awarii ActiveDirectory znajdziesz w rozdziale 11., ZarzÄ…dzanie replikacjami Active Directory.TworzÄ…c strategi¹ domeny pami¹taj o tym, że lokalni administratorzy b¹dÄ… przypisywaćlokalne prawa dost¹pu za pomocÄ… grup zaufanych domen
[ Pobierz całość w formacie PDF ]