рефераты конспекты курсовые дипломные лекции шпоры

Реферат Курсовая Конспект

Доверительные отношения между доменами

Работа сделанна в 2000 году

Доверительные отношения между доменами - раздел Связь, - 2000 год - Система безопастности MS Windows 2000 Server Доверительные Отношения Между Доменами. Kerberos Работает Через Границы Домен...

Доверительные отношения между доменами. Kerberos работает через границы домена домены в терминологии Kerberos называются сферами realm, эти термины эквивалентны. Имя домена, к которому принадлежит принципал безопасности, является частью имени принципала безопасности. Членство в одном дереве Active Directory автоматически создаст междоменные ключи Kerberos между родительским доменоми его дочерними доменами.

Обмен междоменными ключами регистрирует контроллеры домена одного домена в качестве принципалов безопасности в доверенном домене.

Эта простая концепция дает возможность любому принципалу безопасности в домене получить билет сеанса в чужом КОС. 1. Когда принципал безопасности в одном домене хочет обратиться к принципалу безопасности в соседнем домене один из доменов родительский, другой дочерний, он отправляет запрос о билете сеанса своему локальному КОС. 2. КОС определяет, что сервер назначения не находится в локальном домене, и отвечает клиенту, отправляя ему билет направления referral ticket, который является билетом сеанса, зашифрованный при помощи междоменного ключа. 3. Клиент использует билет направления для запроса билета сеанса непосредственно у чужого KDC. 4. Чужой KDC расшифровывает билет направления, потому что обладает междоменным ключом, подтверждающим, что доверенный контроллер домена доверяет клиенту иначе он не предоставил бы ключ направления . 5. Чужой KDC предоставляет билет сеанса, допустимый для чужого сервера назначения.

Для более удаленных доменов этот процесс просто повторяется.

Для доступа к принципалу безопасности в домене, расположенном на расстоянии двух узлов в иерархии доменов Active Directory, клиент запрашивает билет сеанса для сервера назначения в своем KDC, который в ответ пересылает ему билет направления к следующему домену в пути. Затем клиент запрашивает билет сеанса, используя только что полученный билет назначения. Этот сервер просто ответит билетом назначения, допустимым для следующего сервера в цепочке. Этот процесс будет продолжаться до тех пор, пока не будет достигнут локальный домен для принципала безопасности назначения.

В этот момент ключ сеанса технически - TGT и ключ сеанса предоставляется запрашивающему клиенту, который затем сможет пройти аутентификацию непосредственно у принципала безопасности назначения. Последняя важная концепция в аутентификации Kerberos - делегирование аутентификации. Делегирование аутентификации delegation of authentication - это механизм, посредством которого принципал безопасности дает возможность другому принципалу безопасности, с которым у него установлен сеанс, запрашивать аутентификацию от своего имени у третьего принципала безопасности.

Этот механизм важен в многозвенных приложениях, таких как web-узел с поддержкой базы данных. При помощи делегирования аутентификации клиент-web-браузер может пройти аутентификацию у web-cepвера и затем предоставить web-серверу специальный билет TGT, который сервер сможет использовать для запроса билетов сеансов от своего имени, web-сервер сможет затем использовать передаваемые web-клиентом идентификационные данные для аутентификации на сервере баз данных. 6.1.3. Групповые политикиГрупповая политика Group Policy - это основной механизм Windows 2000 при управлении конфигурацией клиентских рабочих станций для контроля за безопасностью и для администрирования. Политики policy - это, в общем случае, просто наборы изменений в установках компьютера по умолчанию.

Политики обычно организуются так, чтобы отдельные политики содержали изменения, реализующие конкретную цель - например, отключение или включение шифрования файловой системы или контроль за программами, которые разрешено запускать пользователю.

Групповые политики Group Policies применяются к элементам контейнера Active Directory таким, как домен или Organizational Unit Подразделение. Группы безопасности могут быть использованы для фильтрации групповых политик, но политики нельзя применять к группам безопасности. Групповая политика Windows 2000 не является только механизмом безопасности - ее основное предназначение состоит в управлении изменениями и конфигурацией но она позволяет администраторам создавать дополнительные системы безопасности, ограничивая свободу действий пользователей.

Групповые политики можно применять для управления следующими элементами политик компьютера computer policy настройки реестра, связанные с конфигурацией и управлением безопасности установка программного обеспечения сценарии, выполняющиеся при загрузке-завершении работы и входе-выходе из системы запуск служб разрешения реестра разрешения NTFS политики открытого ключа политики IPSec настройки системы, сети и компонентов Windows.

Групповые политики можно применять для управления следующими элементами политик пользователя user policy установка программного обеспечения настройки Internet Explorer сценарии входа-выхода в систему настройки безопасности Remote Installation Service служба удаленной установки перенаправление папок компоненты Windows настройки стартового меню, панели задач, рабочего стола и Control Panel Панель управления сетевые настройки настройки системы.

Объекты групповой политики Group Policy Objects по существу являются настраиваемыми файлами реестра и файлами поддержки, такими, как пакеты .msi и сценарии, определяемыми настройками политики, которые загружаются и применяются к входящим в домен клиентским компьютерам при начальной загрузке компьютера конфигурация компьютера и при входе пользователя в систему конфигурация пользователя. Объекты групповой политики и все файлы поддержки, требуемые для групповой политики, хранятся на контроллерах домена в общей папке SysVol. К одному компьютеру могут применяться несколько групповых политик, при этом каждая политика будет перезаписывать настройки предыдущей политики в соответствии со сценарием действует последняя примененная - если только определенная политика не сконфигурирована так, чтобы ее нельзя было перезаписать.

Каждый объект групповой политики состоит из двух частей конфигурации компьютера и конфигурации пользователя.

Можно сконфигурировать настройки и пользователя, и компьютера в одном объекте групповой политики, а в окне свойств политики можно отключить часть объекта, относящуюся к пользователю или компьютеру. Политики компьютера применяются во время начальной стадии работы системы перед входом пользователя в систему и во время периодических восстановлений. Политики компьютера регулируют операционную систему, приложения включая Windows Explorer и сценарии, выполняющиеся при загрузке-завершении работы.

В случае конфликта политики компьютера обычно имеют преимущества над политиками пользователя. Политики пользователя применяются после того, как пользователь вошел в систему, но перед тем, как ему будет разрешено работать на компьютере, а также во время цикла периодических обновлений. Политики пользователя регулируют поведение операционной системы, настройки рабочего стола, настройки приложений, перенаправление папок и пользовательские сценарии входа-выхода в систему.

Групповые политики называются групповыми политиками потому, что они применяются к группам пользователей, а именно к членам контейнеров Active Directory, таких как домены или контейнеры OU. Групповые политики иерархичны по своей природе многие политики могут быть применены к одному компьютеру или пользователю, они применяются в порядке иерархии. Кроме того, последующие политики могут перекрыть настройки предыдущих политик.

Это означает, что отдельные элементы политики можно детализировать при переходе от применяемых к большим группам, таким как домены, политик широкого действия, к узконаправленным политикам, применяемым к меньшим группам, таким как контейнеры OU. Групповые политики конфигурируются на следующих уровнях в следующем порядке. Локальный компьютер. Групповая политика применяется первой, поэтому она может быть перекрыта политикой домена. У каждого компьютера существует одна применяемая к нему локальная групповая политика.

Нелокальные групповые политики загружаются из Active Directory в зависимости от месторасположения пользователя и компьютера в Active Directory. Офис. Эти групповые политики уникальны тем, что они управляются из оснастки Active Directory Sites and Services Сайты и службы. Политики офисов применяются к офисам, поэтому их следует применять для вопросов, связанных с физическим расположением пользователей и компьютеров, а не с участием в безопасности домена.

Домен. Групповые политики применяются ко всем пользователям и компьютерам в домене, и именно здесь следует реализовывать глобальные политики организации. Контейнер OU Organizational Unit. Групповые политики применяются к входящим в них пользователям и компьютерам. Групповые политики применяются сверху вниз родитель, затем потомок иерархии OU. Группа безопасности. Группы безопасности функционируют по-другому, чем настоящие контейнеры доменов. В этом случае не определяются групповые политики, применяемые к группе безопасности, а фильтруются разрешаются или запрещаются применяемые к пользователю групповые политики на основе вхождения пользователя в группы безопасности.

Групповые политики применяются только целиком, нельзя указать, чтобы применялась только часть политики. Одна групповая политика может быть применена более чем к одному контейнеру в Active Directory, потому что групповые политики не хранятся в Active Directory месте их применения. Хранится только ссылка на объект групповой политики, сами объекты на самом деле хранятся в реплицируемой общей папке SysVol на контроллерах домена в домене.

Групповая политика домена управляется через оснастку Active Directory Sites and Services для групповых политик офисов или оснастку Active Directory Users and Computers Пользователи и компьютеры для всех остальных нелокальных групповых политик. Одна политика может быть применена к нескольким контейнерам Active Directory, хотя нет необходимости явно применять политику к детям контейнера, к которому уже применена политика, потому что политика будет уже применена к принципалу безопасности. 6.4.

– Конец работы –

Эта тема принадлежит разделу:

Система безопастности MS Windows 2000 Server

Windows NT 4.0 выбрана не случайно она позиционируется как ОС для предприятий, обладает встроенными возможностями разграничения доступа к ресурсам и… Но если заглянуть в Windows 2000 Server, то, очевидно, что, несмотря на… Несмотря на то что, судя по пользовательскому интерфейсу, Windows 2000 Server больше похожа на Windows 98, на самом…

Если Вам нужно дополнительный материал на эту тему, или Вы не нашли то, что искали, рекомендуем воспользоваться поиском по нашей базе работ: Доверительные отношения между доменами

Что будем делать с полученным материалом:

Если этот материал оказался полезным ля Вас, Вы можете сохранить его на свою страничку в социальных сетях:

Все темы данного раздела:

Структура сетевой операционной системы
Структура сетевой операционной системы. Сетевая операционная система составляет основу любой вычислительной сети. Каждый компьютер в сети в значительной степени автономен, поэтому под сетевой опера

Одноранговые сетевые ОС и ОС с выделенными серверами
Одноранговые сетевые ОС и ОС с выделенными серверами. В зависимости от того, как распределены функции между компьютерами сети, сетевые операционные системы, а следовательно, и сети делятся на два к

Системы семейства Windows NT
Системы семейства Windows NT. При разработке Windows NT 4.0 Microsoft решила пожертвовать стабильностью ради производительности. С этой целью были внесены изменения в архитектуру библиотеки

Теория Безопасности
Теория Безопасности. Когда Windows NT впервые появилась в 1993 г под безопасностью подразумевались меры предохранения важной информации на сервере от просмотра не имеющими на то прав пользователями

Алгоритмы шифрования
Алгоритмы шифрования. Один из алгоритмов, который был разработан в секрете, но потом стал доступен для общественного использования, так же как и для государственного но только для информации Unclas

Симметрические функции
Симметрические функции. Если один и тот же ключ может быть использован для зашифровки или расшифровки сообщения, то такой шифр использует симметрическую функцию symmetric function. Один ключ должен

Однонаправленные функции
Однонаправленные функции. При наборе пароля для входа в Windows 2000, он шифруется и сравнивается с хранимым зашифрованным значением пароля. Пароль сохраняется при помощи однонаправленной функции o

Применение шифрования
Применение шифрования. Шифрование можно использовать для защиты следующих типов данных в сети закрытая передача данных безопасное хранение файлов аутентификация пользователя или компьютера безопасн

Локальная безопасность Windows
Локальная безопасность Windows. ServerБезопасность Windows 2000 основана на аутентификации пользователей. Проходя процедуру входа в систему обеспечиваемую процессом WinLogon, пользователь ид

Идентификаторы безопасности
Идентификаторы безопасности. Принципалы безопасности, такие как пользователи и компьютеры, представлены в системе идентификаторами безопасности security identifier, SID . SID уникально идентифициру

Доступ к ресурсам
Доступ к ресурсам. Потоки thread, отдельные ветви выполнения процесса должны предоставлять токен доступа при каждой попытке доступа к ресурсу. Потоки получают токены доступа от родительских

Объекты и Разрешения
Объекты и Разрешения. Windows 2000 поддерживает безопасность для различных типов объектов, включая но не ограничиваясь ими каталоги, файлы, принтеры, процессы и сетевые общие папки. Каждый объект п

Аутентификация Kerberos и безопасность домена
Аутентификация Kerberos и безопасность домена. Аутентификация Kerberos была разработана Массачусетским технологическим институтом Massachusetts Institute of Techology, MIT для реализации межкомпьют

Безопасность общих папок
Безопасность общих папок. Общие папки shares - это каталоги или тома на рабочей станции или сервере, к которым имеют доступ другие компьютеры в сети. Доступ к общим папкам может быть либо открытым,

Шифрование сетевого уровня
Шифрование сетевого уровня. Виртуальные частные сети virtual private network, VPN это высокозатратный способ расширить локальную сеть через Интернет до удаленных сетей и удаленных клиентских компью

Хотите получать на электронную почту самые свежие новости?
Education Insider Sample
Подпишитесь на Нашу рассылку
Наша политика приватности обеспечивает 100% безопасность и анонимность Ваших E-Mail
Реклама
Соответствующий теме материал
  • Похожее
  • Популярное
  • Облако тегов
  • Здесь
  • Временно
  • Пусто
Теги