Доступ к ресурсам через леса

Когда два леса Windows Server 2003 связаны с помощью доверия лесов, запросы проверки подлинности, выполненные с использованием протоколов Kerberos V5 или NTLM, могут быть маршрутизированы между лесами для предоставления доступа к ресурсам в обоих лесах. Дополнительные сведения о маршрутизации запросов проверки подлинности через леса см. в разделе Маршрутизация суффиксов имен между лесами.

Перед тем как протоколы проверки подлинности смогут следовать по пути доверия леса, имя участника службы (SPN), принадлежащее компьютеру ресурсов, должно быть сопоставлено расположению в другом лесу. Имя участника-службы может быть одним из следующих:

• DNS-имя узла;
• DNS-имя домена;
• различающееся имя объекта точки подключения службы.

Когда рабочая станция в одном лесу пытается получить доступ к данным на компьютере ресурсов в другом лесу, Kerberos обращается к контроллеру домена за билетом службы для имени участника службы, принадлежащего компьютеру ресурсов. После того, как контроллер домена запрашивает глобальный каталог и определяет, что имя участника службы не присутствует в этом же лесу в качестве контроллера домена, он отправляет ссылки для его родительского домена назад в рабочую станцию. Рабочая станция запрашивает у родительского домена билет службы и следует цепочке ссылок до тех пор, пока не доберется до домена, где расположен ресурс.

Приведенный ниже рисунок и соответствующие шаги предоставляют подробное описание процесса проверки подлинности Kerberos, который используется при попытке компьютерами под управлением Windows 2000 Professional, Windows XP Professional., Windows 2000 Server или семейства операционных систем Windows Server 2003 получить доступ к ресурсам компьютера, расположенного в другом лесу.

1. Компьютер «Пользователь_1» входит в компьютер «Рабочая_станция_1», используя учетные данные с домена child.microsoft.com. Затем пользователь пытается получить доступ к общему ресурсу на компьютере «Файловый_сервер_1», расположенном в лесу msn.com.
2. Компьютер «Рабочая_станция_1» обращается в центр распространения ключей (KDC) на контроллере домена в его домене («Дочерний_контроллер_домена_1») и запрашивает билет службы для имени участника службы компьютера «Файловый_сервер_1».
3. «Дочерний_контроллер_домена_1» не находит имя участника службы в базе данных домена и запрашивает глобальный каталог, чтобы просмотреть, какие домены в лесу microsoft.com содержат это имя участника службы. Пока глобальный каталог ограничен своим лесом, имя участника службы не найдено. Затем в глобальном каталоге проверяется своя база данных на наличие сведений о любых довериях лесов, которые установлены с его лесом, и, если такие сведения обнаружены, сравниваются суффиксы имен, перечисленные в объекте доверенного домена (TDO) доверия лесов, с суффиксом конечного имени участника службы, чтобы найти соответствие. Как только соответствие найдено, глобальным каталогом предоставляется Подсказки по маршрутизации назад в «Дочерний_контроллер_домена_1».
4. «Дочерний_контроллер_домена_1» отправляет ссылки для своего родительского домена назад в компьютер «Рабочая_станция_1».
5. Компьютер «Рабочая_станция_1» обращается к контроллеру домена на компьютере «Контроллер_корневого_домена_леса_1» (родительский домен) за ссылками на контроллер домена (компьютер «Контроллер_корневого_домена_леса_2») в корневом домене леса msn.com.
6. Компьютер «Рабочая_станция_1» обращается к компьютеру «Контроллер_корневого_домена_леса_2» в лесу msn.com за билетом службы для запрошенной службы.
7. Компьютер «Контроллер_корневого_домена_леса_2» обращается к своему глобальному каталогу, чтобы найти имя участника службы, а глобальный каталог ищет соответствие для имени участника службы и возвращает его компьютеру «Контроллер_корневого_домена_леса_2».
8. Затем компьютер «Контроллер_корневого_домена_леса_2» возвращает ссылки на child.msn.com компьютеру «Рабочая_станция_1».
9. Компьютер «Рабочая_станция_1» обращается в центр распространения ключей (KDC) на компьютере «Дочерний_контроллер_домена_2» и согласовывает билет для компьютера «Пользователь_1» для получения доступа к компьютеру «Файловый_сервер_1».
10. Теперь компьютер «Рабочая_станция_1» имеет билет службы, он отправляет билет службы сервера на компьютер «Файловый_сервер_1», который считывает учетные записи для безопасного доступа компьютера «Пользователь_1» и создает маркер доступа соответственно.

Когда доверие лесов устанавливается впервые, каждый лес собирает все доверенные пространства имен в лесу партнера и хранит сведения в объекте доверенного домена (TDO). Доверенные пространства имен включают имена доменного дерева, суффиксы основного имени пользователя (UPN), суффиксы имени участника службы (SPN) и пространства имен кода безопасности (SID), используемые в другом лесу. Объекты доверенного домена реплицируются на глобальный каталог. Дополнительные сведения об объектах доверенного домена (TDOs) см. в разделе Доверия.

Подсказки по маршрутизации

Маршрутные подсказки используются только, когда произошел отказ всех традиционных каналов проверки подлинности (локального контроллера домена и затем глобального каталога) при создании размещения имени участника службы. Маршрутные подсказки помогают направлять запросы проверки подлинности к лесу назначения.

Когда имя участника службы нельзя обнаружить в домене, откуда поступает запрос входа в сеть или из базы данных глобального каталога, глобальный каталог проверяет объект доверенного домена доверия лесов на доверенные суффиксы имен, расположенные в другом лесу, которые могут соответствовать суффиксу в имени участника службы. Если соответствие найдено, корневой домен леса возвращает маршрутную подсказку исходному компьютеру, который таким образом может продолжить процесс размещения имени участника службы в другом лесу.

Примечания

• Маршрутные подсказки могут только ссылаться на доверенные суффиксы имен, которые перечислены в объекте доверенного домена для его доверия лесов. Они не проверяют суффикс имен перед отправлением подсказки назад исходному компьютеру.
• Доступ к NetBIOS-именам и делегирование Kerberos через доверия лесов не поддерживаются. NTLM поддерживается полностью и не может быть отключен.

Планирование стратегии управления доступом для нескольких лесов

Рекомендуется тщательно планировать наиболее эффективную стратегию управления доступом для требований ресурсов организации. Разработка и реализация групп безопасности через каждый лес будет являться важным фактором, который следует учитывать во время планирования. Сведения о планировании стратегии управления доступом для нескольких доменов см. в разделе Доступ к ресурсам через домены.

Важно понять основные понятия групп безопасности перед началом процесса планирования.

• Группы безопасности. Права пользователя могут быть применены к группам в Active Directory, в то время как разрешения могут быть назначены группам безопасности на рядовых серверах, обслуживающих ресурс. Сведения см. в разделе Типы группы.
• Вложенность групп. Возможность вложения групп безопасности зависит от областей действия групп и функциональности домена. Дополнительные сведения см. в разделе Вложенность групп.
• Область действия групп. Область действия групп помогает определить границы доступа уровня домена и уровня леса групп безопасности. Дополнительные сведения см. в разделе Область действия группы.
• Функциональность домена. Режим работы доверенных доменов и доменов-доверителей может влиять на функциональность групп, такую как вложенность групп. Дополнительные сведения см. в разделе Функциональность домена и леса.

Как только было получено основательное знание общих понятий групп безопасности, необходимо определить требования ресурсов каждого отдела и географического подразделения для помощи в попытке планирования.

Советы и рекомендации по использованию групп безопасности через леса

За счет аккуратного использования локальных групп, глобальных групп и универсальных групп домена администраторы могут более эффективно управлять доступом к ресурсам, расположенным в других лесах. Примите во внимание следующие советы и рекомендации:

• Чтобы представить наборы пользователей, которым нужен доступ к ресурсам одних и тех же типов, создайте основанные на ролях глобальные группы в каждом домене и лесе, содержащем таких пользователей. Например, пользователям из отдела продаж в лесу ForestA требуется доступ к приложению для ввода заказа, которое является ресурсом из леса ForestB. Пользователям из бухгалтерского отдела в лесу ForestA требуется доступ к тому же приложению, но эти пользователи принадлежат к другому домену. В лесу ForestA создайте глобальную группу SalesOrder и добавьте в нее пользователей из отдела продаж. Создайте глобальную группу AccountsOrder и добавьте в нее пользователей из бухгалтерского отдела.
• Чтобы сгруппировать пользователей из одного леса, которым требуется доступ одного типа к одинаковым ресурсам в другом лесу, создайте универсальные группы соответствующие нужным ролям глобальных групп. Например, в лесу ForestA создайте универсальную группу SalesAccountsOrders и добавьте в нее глобальные группы SalesOrder и AccountsOrder.

Примечание

Универсальные группы недоступны как группы безопасности в доменах смешанного режима Windows 2000 Server или в доменах Windows Server 2003 с режимом работы смешанный Windows 2000. Они доступны как группы распространения.

• Чтобы назначить разрешения ресурсам, к которым будут осуществлять доступ пользователи из другого леса, создайте в каждом домене основанные на ресурсах локальные группы и используйте их для назначения разрешений ресурсам в таком домене. Например, в лесу ForestB создайте локальную группу домена OrderEntryApp. Добавьте эту группу в список управления доступом (ACL), который разрешает доступ к приложению для ввода заказа и назначает соответствующие разрешения.
• Чтобы реализовать доступ к ресурсу через сеть, добавьте универсальные группы из доверенного леса в локальные группы домена из лесов-доверителей. Например, универсальную группу SalesAccountsOrders из леса ForestA добавьте в локальную группу домена OrderEntryApp из леса ForestB.

Если новой учетной записи пользователя потребуется доступ к ресурсу из другого леса, добавьте ее в соответствующую глобальную группу из домена пользователя. Если требуется открыть общий доступ к новому ресурсу через леса, добавьте соответствующую локальную группу домена в список управления доступом этого ресурса. Таким образом на основе членства в группе предоставляется доступ к ресурсам через леса.

Дополнительные сведения см. в разделе Задание разрешений для общего ресурса.