Проектирование доменов и развертывание Active Directory

         

Управление доверительными отношениями


Управление доверительными отношениями

Доверительные отношения, применявшиеся в сетях Windows NT 4.0, полностью поддерживаются в сетях Windows 2000. Они могут быть использованы для создания однонаправленного доверия между доменами Windows 2000 в дереве каталога и другими доменами, находящимися за границей вашего леса, которые могут быть образованы серверами Windows 2000, Windows NT 4.0 или более ранних версий. Это поможет вам поддерживать существующую инфраструктуру при переходе на сеть, полностью основанную на Active Directory. При создании нескольких доменов в одном дереве Active Directory автоматически устанавливаются междоменные двунаправленные доверительные отношения. Это значит, что пользователь может, зарегистрировавшись только в одном домене, получить доступ ко всем ресурсам всех доменов дерева. При объединении нескольких деревьев в лес между корневыми доменами каждого дерева также устанавливаются двунаправленные доверительные отношения. В этом случае необходимость дополнительной настройки доверительных отношений не возникает.

Конфигурирование доверительных отношений требуется, если:

Необходимо установить однонаправленные доверительные отношения (в случае, когда соображения безопасности заставляют исключить возможность общего использования каких-либо ресурсов компьютерной сети).

Возникла необходимость в установлении доверительных отношений между доменами, находящимися в различных лесах (организациях).

Должны быть установлены доверительные отношения .между доменами Windows 2000 и Windows NT 4.0.

Для образования однонаправленных доверительных отношений:

1.

Запустите оснастку

Active Directory-домены и доверие.

2.

Укажите домен, который должен принять участие в однонаправленном доверительном отношении, и нажмите правую кнопку мыши. В появившемся контекстном меню выберите команду

Свойства.

3.



В окне свойств домена перейдите на

вкладку Доверия

(Trusts) (Рисунок 25.3). Если другой домен, участвующий в отношении, должен стать


доменом-доверителем

(trusting), нажмите кнопку

Добавить

в группе

Домены, которые доверяют этому домену

(Domains that trust this domain). Если другой домен должен стать

доверенным

(trusted), нажмите кнопку Добавить в группе

Домены, которым доверяет этот домен

(Domains trusted by this domain).



Рис 25.3.

Вкладка

Доверия

(Trusts) окна диалога свойств домена

4.

В окне диалога

Добавление домена-доверителя

(Add Trusting Domain) или

Добавление доверенного домена

(Add Trusted Domain), соответственно, укажите имя второго домена, принимающего участие в однонаправленном доверительном отношении, пароль для регистрации в указанном домене и затем подтвердите его. Нажмите кнопку

ОК.

Появится окно сообщения о том, что доверительное отношение не может быть проверено, поскольку не установлена вторая половина доверительного отношения.

5.

Установите в окне оснастки указатель мыши на домен, который является второй стороной в доверительном отношении и имя которого было указано ранее на вкладке

Доверия,

и нажмите правую кнопку мыши. В появившемся контекстном меню выберите команду

Свойства.

6.

Повторите шаги 3 и 4, имея в виду, что роль домена изменилась на противоположную: если первый домен был доверителем, то второй домен должен быть доверенным, и наоборот. После окончания конфигурирования нажмите кнопку

ОК.

Появится окно сообщения об успешном создании однонаправленного доверительного отношения.

Для создания двунаправленного доверительного отношения между доменами, находящимися в различных лесах, следует повторить описанную выше процедуру, но поменять роли доменов. Тот домен, который был доверенным, должен стать доверителем, и наоборот.

Для создания доверительного отношения между доменами Windows 2000 и Windows NT 4.0:

1.

На главном контроллере (PDC) существующего домена Windows NT 4.0 запустите утилиту User Manager for Domain (Диспетчер пользователей для домена) (Start | Programs | Administrative Tools | User Manager for Domain).



2.

В меню

Policies

(Политики) выберите команду

Trust Relationships

(Доверительные отношения).

3.

Нажмите кнопку

Add,

расположенную рядом со списком

Trusting Domains

(Домены-доверители). Появится окно диалога, содержащее имя домена, и окна, позволяющие ввести пароль и подтвердить его.

4.

Введите необходимые данные и нажмите кнопку ОК.

Завершите работу Диспетчера пользователей для домена. Теперь домен Windows 2000 доверяет существующему домену Windows NT 4. Однако конфигурирование доверительного отношения не завершено до тех пор, пока домен, основанный на Windows 2000 Server, не подтвердит пароль.

1.

Запустите на контроллере домена Windows 2000 оснастку

Active Directory - домены и доверие.

2.

Укажите имя домена-доверителя и нажмите правую кнопку мыши. В появившемся меню выберите команду

Свойств”.

3.

В окне свойств домена перейдите на вкладку

Доверия.

4.

Нажмите кнопку

Добавить,

расположенную рядом со списком

Домены, которым доверяет этот домен.

Откроется окно диалога

Добавление доверенного домена.

5

.

Введите с клавиатуры имя существующего главного контроллера домена Windows NT 4.0 и тот же пароль, что был введен ранее.

6.

Нажмите кнопку ОК, Откроется окно сообщения об успешности завершения установки доверительного отношения.

Для проверки доверительного отношения зарегистрируйтесь на компьютере, входящем в домен Windows 2000, под учетной записью пользователя, существующей на главном контроллере домена Windows NT 4.0. Если этот шаг завершился успешно, доверительное отношение установлено правильно.


Содержание раздела