На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Леса, деревья и домены

До этого момента мы обсуждали семейство систем Windows NT в контексте отдельного компьютера. Несколько систем Windows NT можно объединить в логическую единицу, назы­ваемую доменом. Можно создать домен Windows Server 2003, сделав один или несколько сер­веров пол управлением Windows 2000 контроллером домена. Контроллер домена является хра­нилищем совместно используемой в домене информации и служит для централизованной идентификации. По существу, домен устанавливает невидимую границу для совместно ис­пользуемых учетных записей. Все системы домена совместно используют набор учетных за­писей. В отличие от Windows NT, где было определено централизованное копирование данных (single-master replication) из главного контроллера домена (Primary Domain Controller) в ре­зервный контроллер домена (Backup Domain Controller), в Windows 2000 и последующих вер­сиях операционных систем все контроллеры доменов являются равными и используют рас- ■ пределенное копирование хранящейся надомене информации (multi-master replication).
В системах Windows 2000 появилась служба Active Directory, и в результате домены перестали выполнять роль логической административной границы, как это было в системах NT. Наддо-менные структуры в иерархии системы Active Directory называются деревьями (tree) и лесами (forest). Деревья чаще всего ассоциируются с соглашениями по присвоению имен, для которых есть лишь небольшие ограничения по безопасности, а леса определяют зону действия служб ка­талогов Windows 2000 (и следующих версий ОС) и являются последней границей администра­тивного управления. Структура простого леса Windows Server 2003 показана на 3.
Рис. 2.3. Лес систем Windows Server 2003
Хотя мы лишь вскользь упомянули о таких серьезных темах, как службы Active Directory, сейчас мы прекратим это обсуждение, чтобы сосредоточиться на другом вопросе, связанном С доменами, — об учетных записях, основной цели злоумышленника.

-
Область видимости: локальная, глобальная, универсальная
Наши читатели, вероятно, отметили, что мы разделяем понятия локальных учетных запи­сей и групп, глобальных и универсальных учетных записей. В системах Windows NT члены ло­кальных групп имеют возможность доступа к ресурсам в области видимости локальной маши­ны, тогда как члены глобальных групп могут получить доступ к ресурсам домена. Локальные группы могут содержать глобальные группы, но не наоборот, потому что локальные группы не имеют значения в контексте домена. Таким образом, типичной стратегией определения прав доступа к локальным ресурсам является добавление пользователей домена (собранных в глобальные группы для упрощения администрирования) в локальную группу. Например, когда компьютер добавляется в домен, глобальная группа Domain Admins автоматически до­бавляется в группу Local Administrators, и члены группы Domain Admins получают возмож­ность идентификации и доступа ко всем ресурсам данного компьютера.
В Active Directory эта процедура несколько усложнена. Области видимости для систем Windows Server 2003 приведены в табл. 2.7.
2.7, Области видимости трз
Область видимости
Описание
Членами группы могут быть
Могут получить доступ к ресурсам
Локальная
Локальная для домена
Глобальная
На уровне компьютера
Внутри домена
Междоменная
Универсальные   На уровне всего леса
Учетные записи любого домена, глобальные группы любого домена и универсальные группы любого домена
Учетные записи, глобальные и универсальные группы любого домена; локальные группы того же домена
Учетные записи того же домена и глобальные группы того же домена
Учетные записи любого домена, глобальные группы любого домена и универсальные группы любого домена
Только локального компьютера
Только того же домена
Любою домена леса
Любого домена леса
В зависимости от режима работы контроллеров домена (однородный или смешанный, см. раздел "Дополнительная литература и ссылки"), эти группы имеют различные ограниче­ния и свойства.
Доверительные отношения
Во многом подобно NT4 и Windows 2000, для систем Windows Server 2003 могут устанавли­ваться междоменные отношения, которые называют доверительными отношениями. Довери­тельные отношения лишь делают возможным междоменный доступ, но явно они этого не по­зволяют. Установление доверительных отношений часто сравнивают с постройкой моста с опущенным шлагбаумом. Например, при установлении доверительных отношений с другим доменом можно использовать элементы системы безопасности этого (доверенного, trusted) домена для создания списка контроля доступа (ACL — Access Control LisC) к ресурсам, но только на усмотрение администраторов доверяющего (trusting) домена и без наследования.
Доверительные отношения могут быть односторонними и двусторонними. При односто­ронних доверительных отношениях только один домен доверяет другому и не наоборот. При двусторонних доверительных отношениях оба домена доверяют друг другу. Односторонние
доверительные отношения полезны в случаях, когда администраторы одного домена должны иметь возможность управлять правилами доступа к своему домену, но не наоборот.
Доверительные отношения также могут быть транзитивными и нетранзитивными. Если домен А имеет транзитивные доверительные отношения с доменом В и домен В имеет тран­зитивные доверительные отношения с доменом С, то домен А имеет транзитивные довери­тельные отношения с доменом С.
По умолчанию между всеми доменами леса Windows Server 2003 установлены транзитивные двусторонние доверительные отношения, В Windows Server 2003 можно установить односто­ронние нетранзитивные доверительные отношения с другими доменами за пределами леса или с доменами NT4. Кроме того, можно установить доверительные отношения с другими ле­сами (более подробно читайте в разделе "Доверительные отношения между лесами").
Административные границы: лес или домен?
Мы часто задаем этот вопрос: что же в действительности является границей для системы безопасности в лесу Windows ServeT 2003 — домен или лес? Отвечал коротко, можно сказать, что даже если домен И является первичной административной границей, он не создает сплошную границу защиты, как это было в системах Windows NT. И тому есть несколько причин.
Одна из причин — существование универсальных групп, которые могут получить приви­легии в любом домене леса, поскопьку транзитивные двусторонние доверительные отноше­ния устанавливаются автоматически между всеми доменами леса. Например, члены групп Enterprise Admins и Schema Admins по умолчанию получают доступ к некоторым элементам порожденных лесов (child forest). Чтобы члены вышеупомянутых групп не могли выполнять операции внутри данного домена, эти разрешения необходимо удалять вручную. Также необ­ходимо обратить внимание на группы Domain Admins всех остальных доменов леса. У лесов службы Active Directory есть одно малоизвестное свойство. Вот как говорится о нем в руково­дстве Windows 2000 Server Resource Kit Deployment Planning Guide: "Администраторы любого из доменов леса имеют потенциальную возможность стать владельцами и изменить инфор­мацию из контейнера конфигурации (Configuration container) службы Active Directory. Эти изменения можно продублировать на всех доменных контроллерах леса. Таким образом, можно считать, что администратор любого присоединившегося к лесу домена имеет довери­тельные отношения, приравнивающие его по возможностям к любому другому администра­тору домена (из группы Domain Admins)". В руководстве Deployment Planning Guide приведе­ны сценарии, необходимые для создания нескольких лесов.
Следующий текст взят из руководства Windows 2000 Server Resource Kit Deployment Plan­ning Guide (см, раздел "Дополнительная литература vt ссылки").
"Если отдельные организации:
не устанавливают доверительных отношений между администраторами
В глобальном каталоге находится представление для каждого объекта леса. Администратор, кото­рый получил возможность создавать объекты, может намеренно или случайно вызвать состояние "отказа в обслуживании". Это состояние можно вызвать, если быстро создавать или удалять объ­екты, вследствие чего возникает необходимость большого потока дублируемых данных в глобальном каталоге. Чрезмерное дублирование может значительно ухудшить пропускную способность сети и замедлить серверы глобального каталога, так как они будут вынуждены тратить время на обработ­ку дублирования;
не могут договориться о политике изменения леса
Изменения схемы, конфигурации и добавление к лесу новых доменов влияет на весь лес. Все органи­зации леса должны договориться о механизме реализации этих изменений, о членстве в группах
Schema Administrators и Enterprise Administrators. Если организации не могут прийти к согласию по вопросам общей политики, они не смогут находиться в одном лесу;
хотят ограничить область видимости доверительных отношений
Каждый домен леса доверяет всем остальным доменам леса. Каждый пользователь леса может быть добавлен в группы и списки контроля доступа любого компьютера леса. Если необходимо запретить некоторым пользователям доступ к определенным ресурсам, то пользователи и ресурс, доступ к ко­торому для них запрещен, должны находиться в отдельных лесах. При необходимости предоставить таким пользователям доступ к ресурсам определенного домена можно использовать явные довери­тельные отношения ".
Все вышесказанное в полной мере относится и к лесам систем Windows Server 2003. Если ад­министративное управление доменом не может быть предоставлено другим лицам, мы реко­мендуем использовать отдельные леса. Конечно же, тогда потеряются все преимущества модели единого лесе, такие как общий глобальный каталог и единое пространство каталога объектов, и возникнет необходимость дополнительных затрат на управление еще одним лесом. Это хоро­ший пример выбора между удобством администрирования и степенью безопасности.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика