Citrix MetaFrame Feature Release 3. Руководство администратора


Сценарии прав пользователей в Active Directory


  • Если для предоставления прав пользователей к опубликованным приложениям вы используете универсальные группы, то все серверы, выполняющие это приложение (если вы используете Citrix Load Manager для распределения нагрузки) должны находиться в домене Active Directory.
  • Если для предоставления прав пользователей к опубликованным приложениям вы используете доменную локальную группу, все серверы должны принадлежать одному и тому же домену. Кроме того, доменная локальная группа должна находиться в первичном домене на всех серверах, включенных в балансирование нагрузки.
  • Если пользователь является членом доменной локальной группы, группа находится в метке безопасности пользователя только в том случае, когда пользователь регистрируется на машине в том же домене, что и доменная локальная группа. Доверительная маршрутизация не гарантирует, что запрос на регистрацию пользователя будет направлен на сервер в том домене, в котором находится доменная локальная группа.

В следующей таблице показано, как сетевая конфигурация затрагивает права пользователей в Active Directory.

Program Neighborhood

Filtering

Аутентификация к опубликованным приложениям Аутентификация в Citrix Management Cosole
Доменные глобальные

группы

Не оказывает вредного эффекта Не оказывает вредного эффекта Не оказывает вредного эффекта
Доменные локальные

группы.

Рекомендации:

Все серверы фермы должны принадлежать одному домену.


Обоснование:

Если пользователь является членом локального домена, группа представлена в метке безпасности только при регистрации пользователя на машине, находящейся в том же домене, что и локальная группа. Доверительная маршуртизация не гарантирует правильное перенаправление запроса о ргистрации. Она гарантирует только то, что запрос будет обработан сервером домена, имеющие доверительные отношения с доменом пользователя.

Рекомендации:

Все серверы, исползующие балансирование нагрузки, должны находиться в одном домене, если локальной группе разрешено использовать приложение.


Обоснование:

Доменные локальные группы, назначенные приложениям, должны быть из первичного домена всех серверов, включенных в балансировку нагрузки. При публикации приложения доменные локальные группы видны в списке при условии соблюдения первого условия.

Если опубликованное приложение имеет пользователей ихз любой локальной доменной группы, и вы добавляете сервер из другого домена, доменные локальные группы удаляются из списка пользователей, поскольку все серверы должны иметь возможность проверить любые права пользователей на запуск приложения.

Рекомендации:

Если пользователь является администратром Citrix только благодаря принадлежности локальной доменной группе, пользователь должен подключаться к консоли сервера в том же домене, что и локальная доменная группа.

Обоснование:

Если пользователь подключается к консоли сервера, находящемся в другом домене, чем локальная доменная группа, ему запрещается доступ, поскольку локальная доменная группа не имеет метки безопасности пользователя.

Универсальные

группы

Рекомендации:

Домены в лесу, не входящие в Active Directory, имеют явные доверительные отношения с доменами


Обоснование:

Домены, отличные от Active Directory не знают о наличии универсальных групп и контроллеры доменов исключат универсальные группы из меток безопасности пользователя. В результате приложения могут не появиться в Program Neighborhood.

Рекомендации:

Если приложению назначена универсальная гурппа, все серверы, обслуживающие эжто приложение, должны находиться в домене Active Directory


Обоснование:

Сервер в домене, отличном от Active Directory, должен аутентифицировать пользователя. В этом случае универсальные группы отсутствуют в метке безопасности пользователя и пользователю запрещается доступ.

Для сервера в домене, отличном от Active Directory, возможно применение балансировки нагрузки, если между доменами установены явные доверительные отношения.

Рекомендации:

Если пользователь проверяется в консоли и является членом администратором Citrix только благодаря членству в универсальной группе, консоль должна обратиться к серверу, входящему в домен Active Directory.


Обоснование:

Контроллеры доменов, отличные от Active Directory, и домены вне дерева универсальной группы не содержат информации об универсальной группе.




Начало  Назад  Вперед



Книжный магазин