Active Directory для Windows Server 2003


Перемещение против клонирования - часть 2


Каким образом сохраняется доступ к ресурсам? Когда пользователь X пытается обратиться к общей папке, расположенной на файловом сервере Windows NT 4, подсистема защиты проверяет его лексему доступа, чтобы удостовериться в наличии необходимых разрешений на доступ к папке. Лексема доступа содержит не только SID пользователя X и SID всех групп, к которым он принадлежит, но и все входы SID-History самого пользователя и учетных записей его групп. Если найдено соответствие между дискреционным списком управления доступом (DACL -discretionary access control list) на дескрипторе защиты папки и предыдущим SID (теперь включенным в лексему доступа с помощью атрибута SID-History), то выдается разрешение на доступ к папке.

Как много из всего этого должен знать конечный пользователь? Ничего. Как много должны знать вы, как системный администратор? Вам следует знать все. Доступ к ресурсам — это наиболее проблемная область переноса учетных записей пользователя. Понимая то, как поддерживаются разрешения после перехода, вы как администратор можете эффективно решать проблемы, возникающие при доступе к ресурсам. В процессе перехода вам, возможно, придется дополнительно поработать для гарантии того, что поле SID-History заполнено. Вы узнаете больше при исследовании утилиты Active Directory Migration Tool (Инструмент перехода к Active Directory, ADMT).

Как работает атрибут SID-History в сценарии обновления домена? Ответ: он не работает. При обновлении домена поддерживаются SID учетных записей групп и пользователей. Пользователь X сможет нормально обращаться к ресурсам. Как SID-History работает в сценарии обновления с последующей реструктуризацией? Ответ: так же, как в сценарии с простым обновлением домена, т.е. доступ к ресурсам сохраняется за счет поддержки первоначального SID объекта в атрибуте SID-History. Единственное различие состоит в том, что Active Directory требует, чтобы идентификаторы SID появлялись в лесу только один раз, включая оба поля: SID и SID-History. В результате в сценарии обновления с последующей реструктуризацией участники безопасности должны быть перенесены, а не клонированы.




Начало  Назад  Вперед



Книжный магазин