[ Pobierz całość w formacie PDF ]
.Skanowany jest lo-kalny kontekst nazw w celu znalezienia grup, których członkiem jest dany użytkownik.Wszystkie informacje zawarte są w powiązanym z obiektem grupy atrybucie Member.Poniżej przedstawiony jest przykład dla grupy Administrators, uzyskany również zapomocą narz�dzia LDIFDE:A
ączenie wsteczneParowanie atrybutów Member/Member-Of jest dość powszechną operacją dokonywanąw katalogu, istnieje wiele tego typu par.Informacja przechowuje łącze dla drugiej bazydanych  bazy LINK, która śledzi parowanie.Jeden ze składników bazy sprawdza jejzgodność według ustalonego harmonogramu (czynność ta wykonywana jest w tle).Istnieje również możliwość ręcznego sprawdzenia zgodności za pomocą narzędziaNTDSUTlL, poprzez wykonanie tzw.łączenia wstecznego.u n 000Rysunek 8.7 przedstawia schemat lasu domen trybu rodzimego.Gdyby były one kla-sycznymi domenami NT albo domenami Windows 2000 trybu mieszanego, relacja za-ufania pomi�dzy domeną Subsidiary i Office mogłaby być niewidoczna dla Branchi Company.W takiej sytuacji aby uzyskać dost�p do folderu w podrz�dnej domenieBranch, użytkownik Auditor potrzebowałby konta w domenie Company.Po przeniesie-niu domen do trybu macierzystego i utworzeniu w pełni przechodnich relacji zaufaniaKerberos, administrator w domenie Branch mógłby umieścić użytkownika Auditor naliście kontroli dost�pu do danego folderu albo grupy lokalnej w domenie Branch.un 8Las domentrybu rodzimegoPrzechodząc do trybu macierzystego niszczysz ostatni pomost łączący Ci� z klasycz-nym systemem NT.Jeżeli z jakichś powodów b�dziesz musiał skorzystać z klasycznychpodstawowych i pomocniczych kontrolerów domeny, b�dzie to niemożliwe, chyba żeprzywrócisz je z kopii bezpieczeństwa.Wi�cej informacji na temat awarii ActiveDirectory znajdziesz w rozdziale 11.,  Zarządzanie replikacjami Active Directory.Tworząc strategi� domeny pami�taj o tym, że lokalni administratorzy b�dą przypisywaćlokalne prawa dost�pu za pomocą grup zaufanych domen.Jeżeli utworzysz wiele do-men, podczas wyszukiwania właściwych grup administratorzy mogą być zdezoriento-wani, w związku z czym bardzo trudno b�dzie określić, czy dany użytkownik posiadaodpowiednie uprawnienia.Taka sytuacja może być bardzo irytująca.Poniżej zamieszczony został krótki opis sposobu, w jaki członkostwo grupy używanejest do kontrolowania dost�pu do obiektu katalogu.W rozdziale 10.znajdziesz dokładneomówienie tego problemu.Gdy LSA skanuje kontekst nazw członkostwa grupy, wyszukiwane są również identyfi-katory zabezpieczeń odpowiadające każdej grupie związanej z użytkownikiem.Po zna-lezieniu identyfikatora, zostaje on wysłany do Centrum dystrybucyjnego kluczy KDC(Key Distribution Center) Kerberos, którego zadaniem jest wydanie użytkownikowi bi-letu TGT (Ticket-Granting Ticket).Atrybut Member-Of obiektu użytkownika w lokalnym kontekście nazw nie zawiera in-formacji dla grup w zaufanych domenach, wobec tego LSA musi użyć innego mechani-zmu określenia członkostwa grupy.Gdyby operacja ta nie została wykonana, użytkownikmógłby otrzymać niepożądany dost�p do zasobów chronionych przez grup� z zaufanejdomeny.Aby uniknąć takiej sytuacji, LSA skanuje również katalog globalny szukając grup uni-wersalnych, których członkiem jest dany użytkownik.Katalog globalny, gdyż posiadaon kopi� każdego kontekstu nazw domeny.Oznacza to, że za każdym razem, gdy użyt-kownik otrzymuje bilet TGT z centrum KDC, LSA musi wykonać pełne skanowaniecałego katalogu globalnego, łącznie z wszystkimi grupami, których członkiem jest danyużytkownik.Skanowanie tych grup jest istotne, ponieważ grupy uniwersalne mogą za-gnieżdżać globalne i uniwersalne grupy z dowolnej domeny trybu macierzystego.Jeżeli LSA znajdzie grup� uniwersalną, której członkiem jest dany użytkownik, dodajedo listy identyfikatorów wysyłanych do centrum KDC identyfikator zabezpieczeniagrupy uniwersalnej (również uzyskany z katalogu globalnego).Identyfikatory zawartew bilecie TGT używane są do tworzenia żetonów lokalnego dost�pu do serwerów.Podsu-mowując powyższe fakty można powiedzieć, że grupy uniwersalne mogą być używanedo kontrolowania dost�pu do lokalnych zasobów domeny poprzez priorytety zabezpieczeń.Jeżeli zagadnienie relacji pomi�dzy grupami lokalnej domeny, grupami globalnymii grupami uniwersalnymi wciąż nie jest do końca jasne, spróbuj za pomocą narz�dziaLDIFDE wykonać zrzut obiektu z kontrolera domeny w domenie użytkownika nie b�-dącej katalogiem globalnym; z serwera katalogu globalnego w domenie użytkownikaoraz z serwera katalogu globalnego nie znajdującego si� w domenie użytkownika.Re-zultat działania narz�dzia może być pomocny w zrozumieniu zagadnienia:zrzut LDIFDE obiektu użytkownika z kontrolera domeny nie b�dącej katalogiemglobalnym wyświetla tylko grupy domeny (lokalne, globalne i uniwersalne),zrzut z katalogu globalnego w domenie użytkownika wyświetla wszystkiegrupy ze wszystkich domen lasu,zrzut z katalogu globalnego w zaufanej domenie wyświetla tylko grupyuniwersalne z dowolnej domeny lasu.Obiekty grupy uniwersalnej w katalogu globalnym muszą posiadać atrybut Member,który należy replikować do każdego katalogu globalnego w lesie.Jeżeli masz tysiąceużytkowników w dziesiątkach różnych miejsc na świecie, nie jest to takie nielogiczne.Podczas definiowania grup kontrolujących dost�p do katalogu i przydzielających przy-wileje administratora pami�taj o dwóch zasadach:używaj uniwersalnych grup tylko wtedy, gdy priorytety zabezpieczeń z zaufanejdomeny b�dą miały dost�p do obiektu,staraj si�, aby członkami grup uniwersalnych nie byli indywidualni użytkownicy,oni zbyt cz�sto zmieniają członkostwo.Przyporządkuj grupy globalne z każdejzaufanej domeny i zmodyfikuj list� członków grupy globalnej.n n uJeżeli kiedykolwiek planowałeś system plików serwera, wiesz, jak wiele różnych sztu-czek trzeba stosować, aby prawa dost�pu nie zostały przypisane przypadkowo.Sytuacjata jednak znacznie bardziej komplikuje si� w przypadku katalogu.Klasyczny system NT i Windows 2000 używają wspólnego modelu zabezpieczeń ukie-runkowanego na obiekty.Struktury danych, takie jak pliki i katalogi NTFS, klucze reje-stru oraz wpisy Active Directory są obiektami zabezpieczeń.Deskryptor zabezpieczeńzawiera list� kontroli dost�pu ACL (Access Control List), definiującą priorytety zabez-pieczeń upoważnianych do dost�pu do obiektu.Lista ACL definiuje również prawa do-stępu przyznawane pryncypiom zabezpieczeń.Podstawowymi prawami dost�pu dlaobiektów katalogu są:List (pokaż wykaz), prawo do przeglądania obiektów w kontenerze,Read (czytaj), prawo do przeglądania właściwości (atrybutów) obiektu,Write (zapisz), prawo do modyfikowania właściwości obiektu,Create (twórz), prawo do tworzenia nowego obiektu,Delete (usuń), prawo do usuni�cia obiektu,Extended (rozszerz), specjalne prawo unikatowe dla danych klas obiektów,Permissions (uprawnienia), prawo do zmiany uprawnień dla obiektu [ Pobierz całość w formacie PDF ]

zanotowane.pl

doc.pisz.pl

pdf.pisz.pl

funlifepok.htw.pl

• Menu

  • Index
  • Complete.Home.Wireless.Networking. .Windows.XP.Edition.(2003)
  • Configuring And Troubleshooting Windows XP Professional
  • Kennedy Paul Mocarstwa œwiata (1500 2000)
  • Microsoft Windows XP Bible
  • Programming Windows Games in Borland C
  • ABC systemu Windows XP (2)
  • (eBook pdf) Developing XML Web Services and Server Components with Microsoft Visual Basic .NET, v2.0 (Test King 70 310)
  • Eddings Dav
  • Nurowska Maria Wiek samotnosci
  • Gallet Louis Kapitan Czart
  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • diriana-nails.keep.pl