Доверительные отношения

В сети, состоящей из двух и более доменов, каждый домен действует как отдельная сеть со своей базой данных учетных записей. Однако в организации некоторым пользователям одного домена могут понадобиться какие-нибудь ресурсы другого домена.

Обычное решение этой проблемы связано с настройкой уровней доступа пользователей между различными доменами и называется установлением доверительных отношений (trust relationship). В Windows NT Server имеются все средства для настройки многодоменной сети с установлением между контроллерами доменов доверительных отношений, что позволяет защитить чувствительные области ресурсов, избавив при этом пользователей от излишних подробностей и множества паролей.

Конечно же, может существовать несколько доменов, между которыми не установлены доверительные отношения(недоверительные отношения между доменами). Например, у пользователя могут быть учетные записи в каждом домене многодоменной сети. На рис. 3 показана сеть с двумя доменами; один домен называется Marketing, а другой Finance.

Рис. 3. Домены, между которыми не установлены доверительные отношения.

Для примера назовем пользователя Маргарет. Это имя есть в каждом домене. В домене Finance она регистрируется как Mag, а в домене Marketing — как Меg. Когда между доменами не установлены доверительные отношения, в каждом из них у пользователя вполне может быть одно и то же имя.

Когда Маргарет регистрируется в домене Marketing, она получает доступ к его ресурсам, как установлено администратором, но у нее нет при этом доступа к домену Finance. Аналогично при входе в домен Finance у нее нет доступа к домену Marketing. Чтобы снова добраться до ресурсов домена Marketing, Маргарет должна выйти из домена Finance и войти в домен Marketing, т. е. при такой организации невозможен одновременный доступ к ресурсам нескольких доменов. Все входы и выходы малоэффективны.

В любой достаточно крупной сети, требующей наличия нескольких доменов, будет много пользователей, и у многих из них будут учетные записи в нескольких доменах. Каждый раз, когда надо будет сменить пароль или изменить права доступа, администратору придется пройтись по доменам, регистрируясь и выполняя нужные изменения в каждом из них.

Чтобы удовлетворить пользователя, которому необходим доступ к обоим доменам (Marketing и Finance), можно установить между ними одностороннее доверительное отношение. Рис. 4 иллюстрирует самый простой тип доверительных отношений. Домен Finance является доменом-доверителем, a Marketing — доверенным доменом.

Рис. 4. Одностороннее доверительное отношение.

Если пользователь может войти в домен Marketing, то домен Finance доверяет ему, считая, что пользователь вошел и в него. Но вовсе не означает, что пользователь автоматически получит доступ к ресурсам домена Finance, ему должны быть выданы соответствующие разрешения администратором этого домена. Это не означает также, что пользователи, которые вошли непосредственно в домен Finance, имеют доступ к домену Marketing.

Для того, чтобы это стало возможным, необходимо отдельно установить еще одно одностороннее доверительное отношение, в котором доменом-доверителем будет Marketing, а доверенным доменом — Finance (доверие в две стороны – двустороннее доверительное отношение).

Обычно в многодоменной сети односторонние доверительные отношения не могут адекватно задать все требуемые взаимодействия. Для того, чтобы удовлетворить нужды пользователя, понадобится, по крайней мере, одно двустороннее доверительное отношение.

Двусторонние доверительные отношения предоставляют большую гибкость регулирования доступа пользователя к ресурсам и значительно упрощают администрирование сети.

При двусторонних доверительных отношениях пользователь, вошедший в один домен, будет считаться прошедшим проверку подлинности в другом домене.

У пользователя в этом случае должен быть доступ к ресурсам другого домена в пределах, установленных администратором этого домена.

Двусторонние доверительные отношения устанавливаются посредством двух односторонних доверительных отношений, по одному в каждом направлении (см. рис. 5). Двусторонняя стрелка указывает на то, что домен Finance доверяет домену Marketing, а домен Marketing доверяет домену Finance.

Рис. 5. Двусторонние доверительные отношения.

Если возникнут обстоятельства, при которых потребуется изменить доверительные отношения, необходимо помнить, что в действительности в них вовлечены два отношения.

Главным достоинством двусторонних доверительных отношений является то, что учетные записи пользователей необходимо создавать лишь один раз, предпочтительно в основном («домашнем») домене. Они будут доступны на всех доменах-доверителях, что значительно облегчает администрирование сети. При этом допускается децентрализованное администрирование системы; каждое подразделение может заниматься собственными делами, не заботясь о распространении во все домены каждого изменения учетных записей пользователей.

Разрабатывая сеть на Windows NT Server, важно знать, что все доверительные отношения необходимо устанавливать по отдельности. Иначе говоря, доверие не передается из одного домена в другой (непередаваемость доверия).

На рис. 6 показана сеть из трех доменов. Домен Marketing доверяет домену Finance, и наоборот. Третий домен, Editorial, имеет двусторонние доверительные отношения с доменом Finance. Однако домены Editorial и Marketing не будут доверять друг другу, пока между ними не будут установлены доверительные отношения. Доверие домена Editorial домену Finance не распространяется дальше на домен Marketing. Точно так же двусторонние доверительные отношения между доменами Marketing и Finance не выходят за пределы домена Finance и не включают в себя домен Editorial.

Рис. 6. Несколько доменов с отдельно установленными доверительными отношениями.

Если понадобится предоставить пользователю из домена Editorial доступ к ресурсам домена Marketing или наоборот, то нужно установить между этими доменами доверительные отношения, замкнув тем самым круг отношений. Тогда установленные отношения будут выглядеть так, как показано на рис. 7.