[ Pobierz całość w formacie PDF ]
.Skanowany jest lo-kalny kontekst nazw w celu znalezienia grup, których czÅ‚onkiem jest dany użytkownik.Wszystkie informacje zawarte sÄ… w powiÄ…zanym z obiektem grupy atrybucie Member.Poniżej przedstawiony jest przykÅ‚ad dla grupy Administrators, uzyskany również zapomocÄ… narz¹dzia LDIFDE: AÄ…czenie wsteczneParowanie atrybutów Member/Member-Of jest dość powszechnÄ… operacjÄ… dokonywanÄ…w katalogu, istnieje wiele tego typu par.Informacja przechowuje Å‚Ä…cze dla drugiej bazydanych  bazy LINK, która Å›ledzi parowanie.Jeden ze skÅ‚adników bazy sprawdza jejzgodność wedÅ‚ug ustalonego harmonogramu (czynność ta wykonywana jest w tle).Istnieje również możliwość rÄ™cznego sprawdzenia zgodnoÅ›ci za pomocÄ… narzÄ™dziaNTDSUTlL, poprzez wykonanie tzw.Å‚Ä…czenia wstecznego.u n 000Rysunek 8.7 przedstawia schemat lasu domen trybu rodzimego.Gdyby byÅ‚y one kla-sycznymi domenami NT albo domenami Windows 2000 trybu mieszanego, relacja za-ufania pomi¹dzy domenÄ… Subsidiary i Office mogÅ‚aby być niewidoczna dla Branchi Company.W takiej sytuacji aby uzyskać dost¹p do folderu w podrz¹dnej domenieBranch, użytkownik Auditor potrzebowaÅ‚by konta w domenie Company.Po przeniesie-niu domen do trybu macierzystego i utworzeniu w peÅ‚ni przechodnich relacji zaufaniaKerberos, administrator w domenie Branch mógÅ‚by umieÅ›cić użytkownika Auditor naliÅ›cie kontroli dost¹pu do danego folderu albo grupy lokalnej w domenie Branch.un 8Las domentrybu rodzimegoPrzechodzÄ…c do trybu macierzystego niszczysz ostatni pomost Å‚Ä…czÄ…cy Ci¹ z klasycz-nym systemem NT.Jeżeli z jakichÅ› powodów b¹dziesz musiaÅ‚ skorzystać z klasycznychpodstawowych i pomocniczych kontrolerów domeny, b¹dzie to niemożliwe, chyba żeprzywrócisz je z kopii bezpieczeÅ„stwa.Wi¹cej informacji na temat awarii ActiveDirectory znajdziesz w rozdziale 11.,  ZarzÄ…dzanie replikacjami Active Directory.TworzÄ…c strategi¹ domeny pami¹taj o tym, że lokalni administratorzy b¹dÄ… przypisywaćlokalne prawa dost¹pu za pomocÄ… grup zaufanych domen.Jeżeli utworzysz wiele do-men, podczas wyszukiwania wÅ‚aÅ›ciwych grup administratorzy mogÄ… być zdezoriento-wani, w zwiÄ…zku z czym bardzo trudno b¹dzie okreÅ›lić, czy dany użytkownik posiadaodpowiednie uprawnienia.Taka sytuacja może być bardzo irytujÄ…ca. Poniżej zamieszczony zostaÅ‚ krótki opis sposobu, w jaki czÅ‚onkostwo grupy używanejest do kontrolowania dost¹pu do obiektu katalogu.W rozdziale 10.znajdziesz dokÅ‚adneomówienie tego problemu.Gdy LSA skanuje kontekst nazw czÅ‚onkostwa grupy, wyszukiwane sÄ… również identyfi-katory zabezpieczeÅ„ odpowiadajÄ…ce każdej grupie zwiÄ…zanej z użytkownikiem.Po zna-lezieniu identyfikatora, zostaje on wysÅ‚any do Centrum dystrybucyjnego kluczy KDC(Key Distribution Center) Kerberos, którego zadaniem jest wydanie użytkownikowi bi-letu TGT (Ticket-Granting Ticket).Atrybut Member-Of obiektu użytkownika w lokalnym kontekÅ›cie nazw nie zawiera in-formacji dla grup w zaufanych domenach, wobec tego LSA musi użyć innego mechani-zmu okreÅ›lenia czÅ‚onkostwa grupy.Gdyby operacja ta nie zostaÅ‚a wykonana, użytkownikmógÅ‚by otrzymać niepożądany dost¹p do zasobów chronionych przez grup¹ z zaufanejdomeny.Aby uniknąć takiej sytuacji, LSA skanuje również katalog globalny szukajÄ…c grup uni-wersalnych, których czÅ‚onkiem jest dany użytkownik.Katalog globalny, gdyż posiadaon kopi¹ każdego kontekstu nazw domeny.Oznacza to, że za każdym razem, gdy użyt-kownik otrzymuje bilet TGT z centrum KDC, LSA musi wykonać peÅ‚ne skanowaniecaÅ‚ego katalogu globalnego, Å‚Ä…cznie z wszystkimi grupami, których czÅ‚onkiem jest danyużytkownik.Skanowanie tych grup jest istotne, ponieważ grupy uniwersalne mogÄ… za-gnieżdżać globalne i uniwersalne grupy z dowolnej domeny trybu macierzystego.Jeżeli LSA znajdzie grup¹ uniwersalnÄ…, której czÅ‚onkiem jest dany użytkownik, dodajedo listy identyfikatorów wysyÅ‚anych do centrum KDC identyfikator zabezpieczeniagrupy uniwersalnej (również uzyskany z katalogu globalnego).Identyfikatory zawartew bilecie TGT używane sÄ… do tworzenia żetonów lokalnego dost¹pu do serwerów.Podsu-mowujÄ…c powyższe fakty można powiedzieć, że grupy uniwersalne mogÄ… być używanedo kontrolowania dost¹pu do lokalnych zasobów domeny poprzez priorytety zabezpieczeÅ„.Jeżeli zagadnienie relacji pomi¹dzy grupami lokalnej domeny, grupami globalnymii grupami uniwersalnymi wciąż nie jest do koÅ„ca jasne, spróbuj za pomocÄ… narz¹dziaLDIFDE wykonać zrzut obiektu z kontrolera domeny w domenie użytkownika nie b¹-dÄ…cej katalogiem globalnym; z serwera katalogu globalnego w domenie użytkownikaoraz z serwera katalogu globalnego nie znajdujÄ…cego si¹ w domenie użytkownika.Re-zultat dziaÅ‚ania narz¹dzia może być pomocny w zrozumieniu zagadnienia:zrzut LDIFDE obiektu użytkownika z kontrolera domeny nie b¹dÄ…cej katalogiemglobalnym wyÅ›wietla tylko grupy domeny (lokalne, globalne i uniwersalne),zrzut z katalogu globalnego w domenie użytkownika wyÅ›wietla wszystkiegrupy ze wszystkich domen lasu,zrzut z katalogu globalnego w zaufanej domenie wyÅ›wietla tylko grupyuniwersalne z dowolnej domeny lasu.Obiekty grupy uniwersalnej w katalogu globalnym muszÄ… posiadać atrybut Member,który należy replikować do każdego katalogu globalnego w lesie.Jeżeli masz tysiÄ…ceużytkowników w dziesiÄ…tkach różnych miejsc na Å›wiecie, nie jest to takie nielogiczne. Podczas definiowania grup kontrolujÄ…cych dost¹p do katalogu i przydzielajÄ…cych przy-wileje administratora pami¹taj o dwóch zasadach:używaj uniwersalnych grup tylko wtedy, gdy priorytety zabezpieczeÅ„ z zaufanejdomeny b¹dÄ… miaÅ‚y dost¹p do obiektu,staraj si¹, aby czÅ‚onkami grup uniwersalnych nie byli indywidualni użytkownicy,oni zbyt cz¹sto zmieniajÄ… czÅ‚onkostwo.PrzyporzÄ…dkuj grupy globalne z każdejzaufanej domeny i zmodyfikuj list¹ czÅ‚onków grupy globalnej.n n uJeżeli kiedykolwiek planowaÅ‚eÅ› system plików serwera, wiesz, jak wiele różnych sztu-czek trzeba stosować, aby prawa dost¹pu nie zostaÅ‚y przypisane przypadkowo.Sytuacjata jednak znacznie bardziej komplikuje si¹ w przypadku katalogu.Klasyczny system NT i Windows 2000 używajÄ… wspólnego modelu zabezpieczeÅ„ ukie-runkowanego na obiekty.Struktury danych, takie jak pliki i katalogi NTFS, klucze reje-stru oraz wpisy Active Directory sÄ… obiektami zabezpieczeÅ„.Deskryptor zabezpieczeÅ„zawiera list¹ kontroli dost¹pu ACL (Access Control List), definiujÄ…cÄ… priorytety zabez-pieczeÅ„ upoważnianych do dost¹pu do obiektu.Lista ACL definiuje również prawa do-stÄ™pu przyznawane pryncypiom zabezpieczeÅ„.Podstawowymi prawami dost¹pu dlaobiektów katalogu sÄ…:List (pokaż wykaz), prawo do przeglÄ…dania obiektów w kontenerze,Read (czytaj), prawo do przeglÄ…dania wÅ‚aÅ›ciwoÅ›ci (atrybutów) obiektu,Write (zapisz), prawo do modyfikowania wÅ‚aÅ›ciwoÅ›ci obiektu,Create (twórz), prawo do tworzenia nowego obiektu,Delete (usuÅ„), prawo do usuni¹cia obiektu,Extended (rozszerz), specjalne prawo unikatowe dla danych klas obiektów,Permissions (uprawnienia), prawo do zmiany uprawnieÅ„ dla obiektu [ Pobierz caÅ‚ość w formacie PDF ]

  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • funlifepok.htw.pl
  •