[ Pobierz całość w formacie PDF ]
.com Domain Local Group = Lista kontroli dost�pu (ACL)zawieraj�ca grup� lokalnej domeny Subsidiary.comKierunki relacji zaufaniaDwie domeny (Company.com i Subsidiary.com) s� po��czone ze sob� poprzez relacj�zaufania drzewa katalogowego.Jest to dwukierunkowa przechodnia relacjazaufania Kerberos, dlatego te� rozró�nienie domeny �zaufanej� i �ufaj�cej� jestbardzo p�ynne.Zwró�my uwag� na u�ytkownika w domenie Company.com, który uzyskuje dost�p doobiektu domeny Subsidiary.com.Administrator zabezpiecza obiekt w domenieSubsidiary.com za pomoc� konta domeny Company.com, dlatego te� domenaSubsidiary.com jest domen� �ufaj�c��, a Company.com domen� �zaufan��.Relacjezaufania zawsze s� �odwrotnie skierowane� do kierunku, w którym s� u�ywane.Wiem, brzmi to zabawnie.Administrator jest w stanie zmodyfikowa� deskryptor zabezpiecze� w kontenerzeOU w domenie Subsidiary.com, gdy� jest cz�onkiem grupy administracyjnej tejdomeny.Grupa administracyjna posiada prawo odczytu-zapisu odczytu/zapisu doobiektów katalogu w swojej domenie.Reasumuj�c, u�ytkownik z zaufanej domeny Company.com próbuje uzyska� dost�p doobiektu katalogu w domenie zaufanej Subsidiary.com.Obiekt jest zabezpieczonyprzez lokaln� grup� w domenie Subsidiary.com.U�ytkownik znajduje si� wCompany.com i jest cz�onkiem tej grupy.Poni�ej przedstawiona zosta�a kolejno��zdarze�, które maj� miejsce podczas próby uzyskania dost�pu do obiektu przeztego u�ytkownika.U�ytkownik korzysta z konsoli Active Directory Users andComputers (U�ytkownicy i komputery Active Directory).Procedura 10.8 Funkcjonalny opis uzyskiwania dost�pu do obiektu poprzez lokaln�grup� � domenow�Gdy u�ytkownik loguje si� do domeny Company.com, LSA tworzy list�identyfikatorów zabezpiecze� SID dla u�ytkownika, w oparciu o atrybut Member-Of(Cz�onek) obiektu u�ytkownika oraz skanowanie grup uniwersalnych w kataloguglobalnym GC.LSA nie znajduje u�ytkownika na li�cie cz�onków grupy lokalnej domenowej wSubsidiary.com.Cz�ciowa kopia kontekstu nazw w katalogu globalnym nieobejmuje listy cz�onków grup lokalnej domeny.Dlatego te� TGT wydane przezcentrum dystrybucji biletów w domenie Company.com zawiera tylko identyfikatoru�ytkownika i identyfikator grup domeny Company.com, do której y nale�yu�ytkownik.Gdy u�ytkownik po otwarciu konsoli Active Directory Users and Computers(U�ytkownicy i komputery Active Directory) chce przejrze� przegl�da� domen�Subsidiary.com, klient sieciowy na komputerze u�ytkownika musi przedstawi�kontrolerowi domeny Subsidiary.com bilet Kerberos, tak aby kontroler móg�otrzyma� zezwolenie do wys�ania zapytania LDAP.Active Directory nie akceptujebezpo��czeniowych ��da� wyszukiwania.Aby otrzyma� bilet Kerberos dla serwera w domenie Subsidiary.com, klientsieciowy musi posiada� TGT dla Subsidiary.com.Centrum dystrybucji biletów wCompany.com nie mo�e jednak wyda� takiego TGT � � le�y to w kompetencji centrumw kontrolerze domeny Subsidiary.com.KDC w domenie Company.com musi w imieniu u�ytkownika uzyska� TGT dla domenySubsidiary.com.Nast�pnie centrum dystrybucji biletow KDC w Subsidiary.comwydaje TGT na podstawie relacji zaufania drzewa katalogowego, która istniejepomi�dzy dwiema dwoma domenami.Podczas tworzenia TGT dla u�ytkownika Company.com, LSA skanuje kontekst nazwsprawdzaj�c, czy u�ytkownik albo grupy, do których nale�y u�ytkownik s�cz�onkami grup lokalnej domeny.W ko�cu LSA znajduje konto u�ytkownika w grupielokalnej domenowej i dodaje jej identyfikator do identyfikatorów znajduj�cychsi� w TGT u�ytkownika, tworz�c nowy TGT dla domeny Subsidiary.com.Nast�pniewydaje kontrolerowi domeny Company.com bilet, który jest automatycznieprzekazywany do klienta sieciowego znajduj�cego si� w komputerze u�ytkownika.Klient sieciowy natychmiast wykorzystuje TGT do uzyskania biletu do kontroleradomeny Subsidiary.com.W oparciu o rekordy SRV klient wybiera jeden zkontrolerów domeny.Centrum KDC w domenie Subsidiary.com wydaje wybranemu kontrolerowi domeny biletKerberos.Bilet zawiera kopi� pola Authorization Data (Dane uwierzytelnienia) zTGT domeny Subsidiary.com.W polu tym znajduje si� identyfikator zabezpiecze�grupy lokalnej domenowej Subsidiary.com oraz identyfikatory grup z domenyCompany.com.Klient sieciowy przedstawia kontrolerowi domeny Subsidiary.com bilet Kerberos.Kontroler uwierzytelnia bilet.Us�uga LSA w kontrolerze domeny nie skanuje bazySAM, gdy� kontroler domeny nie ma prawa do posiadania grup lokalnych w bazieSAM.LSA tworzy lokalny �eton dost�pu dla u�ytkownika zawieraj�cyidentyfikatory z pola Authorization Data (Dane uwierzytelnienia).Gdy u�ytkownik próbuje uzyska� dost�p do kontenera w domenie Subsidiary.com,LSA porównuje identyfikatory zabezpiecze� z listy kontroli dost�pu obiektu zidentyfikatorami znajduj�cymi si� w �etonie dost�pu u�ytkownika.Gdy znalezionyzostanie identyfikator grupy lokalnej domeny, który pasuje do identyfikatora zlisty kontroli, u�ytkownik uzyskuje dost�p do odczytu-zapisu odczytu/zapisu doobiektu.Reasumuj�c, gdy u�ytkownicy z zaufanej domeny staj� si� cz�onkami grup lokalnejdomeny w domenie ufaj�cej, us�uga LSA w kontrolerze domeny ufaj�cej mo�euwierzytelni� prawa dost�pu u�ytkowników w oparciu o zawarto�ci biletówKerberos.Problem zwi�zany z grupami globalnymi wygl�da natomiast troch� inaczej.Otó�u�ytkownicy z jednej domeny nie mog� by� dodawani do grupy globalnej z innejdomeny bez wzgl�du na konfiguracj� relacji zaufania.Grupy globalne mog�posiada� cz�onków tylko ze swoich domen.Z tego samego powodu grupy lokalnedomenowe nie mog� by� zagnie�d�ane w grupach globalnych, gdy� u�ytkownicy zdomen ufaj�cych mog� by� cz�onkami grupy lokalnej domenowej [ Pobierz całość w formacie PDF ]