Отношения доверия в системе Windows NT

В системах Windows NT 4.0 и более ранних версий доверие устанавливается только между двумя доменами и отношения доверия являются односторонними и нетранзитивными. На следующем рисунке прямой стрелкой, ведущей к доверенному домену, изображено нетранзитивное одностороннее отношение доверия.

Отношения доверия в операционных системах Windows Server 2003 и Windows 2000 Server

Все отношения доверия в составе леса Windows 2000 и Windows Server 2003 являются двусторонними и транзитивными. Поэтому доверенными являются оба домена, связанные отношением доверия. Как показано на следующем рисунке, это означает, что если домен A доверяет домену B и домен B доверяет домену C, то пользователи из домена C (при наличии соответствующих разрешений) имеют доступ к ресурсам в домене A. Управлять доверительными отношениями могут только члены группы «Администраторы домена».

Протоколы отношений доверия

Контроллер домена под управлением Windows Server 2003 проводит проверку подлинности пользователей и приложений с использованием одного из двух протоколов: Kerberos V5 или NTLM. Протокол Kerberos V5 является протоколом по умолчанию для компьютеров с операционными системами Windows 2000, Windows XP Professional. или Windows Server 2003. Если какой-либо компьютер, участвующий в транзакции, не поддерживает протокол Kerberos V5, вместо него будет использоваться протокол NTLM.

При использовании протокола Kerberos V5 клиенты запрашивают билет у контроллера того домена, которому принадлежит данная учетная запись для сервера в домене-доверителе. Данный билет выдается посредником, которому доверяют и клиент, и сервер. Клиент предоставляет этот доверенный билет серверу в домене-доверителе для проверки подлинности. Дополнительные сведения см. в разделе Проверка подлинности Kerberos V5.

Когда клиент пытается получить доступ к ресурсам на сервере в другом домене с использованием протокола проверки подлинности NTLM, сервер, содержащий данный ресурс, должен обратиться к контроллеру домена, находящемуся в домене, которому принадлежит учетная запись клиента, для проверки данных учетной записи.

Объекты доверенного домена

Объектами доверенного домена (TDOs, Trusted domain objects) являются объекты, представляющие все доверительные отношения в конкретном домене. Каждый раз при установлении доверительного отношения уникальный объект TDO создается и сохраняется в системном контейнере домена. В объекте TDO представлены такие атрибуты, как транзитивность доверия, тип и имена соответствующих выбранному отношению доменов.

Объекты TDO доверия леса хранят дополнительные атрибуты для идентификации всех доверенных пространств имен из леса партнера. Эти атрибуты включают в себя имена доменного дерева, суффиксы основного имени пользователя (UPN), суффиксы имени участника службы (SPN) и пространства имен кода безопасности (SID).

Дополнительные сведения (на английском языке) о доверенных доменах см. в разделе о параметрах DHCP на веб-узле Microsoft Windows Resource Kits. Дополнительные сведения (на английском языке) об отношениях доверия см в разделе о разработке стратегии авторизации на веб-узле Microsoft Windows Resource Kits.

 

 

Типы доверия

Типы доверия

Взаимодействие между доменами осуществляется через доверия. Доверия представляют собой каналы проверки подлинности, наличие которых необходимо для возможности обращения пользователей одного домена к ресурсам другого домена. При использовании мастера установки Active Directory по умолчанию создаются два доверия. Существует четыре других типа доверия, которые могут быть созданы с помощью мастера создания нового доверия или средства командной строки Netdom.

Доверия по умолчанию

По умолчанию двусторонние, транзитивные доверия создаются автоматически, при добавлении нового домена в дерево доменов или в корневой домен леса с помощью мастера установки Active Directory. Два типа доверия, создаваемые по умолчанию, описаны в следующей таблице.

 

Тип доверия	Транзитивность	Направление	Описание
Между родительским и дочерним доменом	Транзитивное	Двустороннее	По умолчанию при добавлении нового дочернего домена в существующее дерево доменов между родительским и дочерним доменом устанавливается новое доверие. Запросы проверки подлинности от подчиненных доменов передаются вверх через родительский домен доверенному домену. Дополнительные сведения о создании дочернего домена см. в разделе Создание нового дочернего домена.
Между деревом и корневым доменом	Транзитивное	Двустороннее	По умолчанию при создании дерева доменов в существующем лесу между деревом и корневым доменом устанавливается новое доверие. Дополнительные сведения о создании дерева доменов см. в разделе Создание нового дерева доменов.

Другие доверия

Существует четыре других типа доверия, которые могут быть созданы с помощью мастера создания нового доверия или средства командной строки Netdom: к сфере, к лесу, внешнее и сокращенное. Эти доверия описаны в следующей таблице.

 

Тип доверия	Транзитивность	Направление	Описание
Внешнее	Нетранзитивное	Одностороннее или двустороннее	Внешние доверия служат для предоставления доступа к ресурсам, расположенным в домене Windows NT 4.0 или в домене, входящем в лес, с которым не установлены доверительные отношения. Дополнительные сведения см. в разделе Когда следует создавать внешнее доверие.
К сфере	Транзитивное или нетранзитивное	Одностороннее или двустороннее	Доверие к сфере служит для установки доверительных отношений между сферой Kerberos, отличной от Windows, и доменом Windows Server 2003. Дополнительные сведения см. в разделе Когда необходимо создавать отношение доверия со сферой.
К лесу	Транзитивное	Одностороннее или двустороннее	Доверие к лесу служит для совместного использования ресурсов разными лесами. Если доверие к лесу является двусторонним, запросы проверки подлинности, сделанные в любом лесу, могут достигнуть другого леса. Дополнительные сведения см. в разделе Когда необходимо создавать доверие лесов.
Сокращенное	Транзитивное	Одностороннее или двустороннее	Сокращенное доверие служит для сокращения времени входа пользователя в систему из одного домена леса Windows Server 2003 в другой домен этого же леса. Его следует использовать, если два домена расположены в двух разных деревьях доменов. Дополнительные сведения см. в разделе Когда необходимо создавать сокращенное доверие.

При создании внешнего или сокращенного доверия либо доверия к сфере или к лесу можно выбрать раздельное или одновременное создание обоих направлений доверия.

Если каждая сторона доверия создается независимо, понадобится выполнить мастер создания доверия дважды – по одному разу в каждом домене. В этом случае требуется для каждого домена ввести один и тот же пароль. Для обеспечения наибольшей безопасности все пароли доверия должны быть надежными. Дополнительные сведения см. в разделе Надежные пароли.

Если выбрано одновременное создание обоих направлений доверия, мастер создания нового доверия необходимо запустить лишь один раз. В этом случае надежный пароль будет создан автоматически.

Также потребуются соответствующие административные права в каждом из доменов, между которыми создается доверие.

Для создания доверия можно также воспользоваться программой Netdom.exe. Дополнительные сведения о программе Netdom см. в разделе Средства поддержки Active Directory.

Дополнительные сведения о доверии см. в разделах Транзитивность доверия и Направление отношения доверия.