Доверительные отношения между доменами. Kerberos работает через границы домена домены в терминологии Kerberos называются сферами realm, эти термины эквивалентны. Имя домена, к которому принадлежит принципал безопасности, является частью имени принципала безопасности. Членство в одном дереве Active Directory автоматически создаст междоменные ключи Kerberos между родительским доменоми его дочерними доменами.
Обмен междоменными ключами регистрирует контроллеры домена одного домена в качестве принципалов безопасности в доверенном домене.
Эта простая концепция дает возможность любому принципалу безопасности в домене получить билет сеанса в чужом КОС. 1. Когда принципал безопасности в одном домене хочет обратиться к принципалу безопасности в соседнем домене один из доменов родительский, другой дочерний, он отправляет запрос о билете сеанса своему локальному КОС. 2. КОС определяет, что сервер назначения не находится в локальном домене, и отвечает клиенту, отправляя ему билет направления referral ticket, который является билетом сеанса, зашифрованный при помощи междоменного ключа. 3. Клиент использует билет направления для запроса билета сеанса непосредственно у чужого KDC. 4. Чужой KDC расшифровывает билет направления, потому что обладает междоменным ключом, подтверждающим, что доверенный контроллер домена доверяет клиенту иначе он не предоставил бы ключ направления . 5. Чужой KDC предоставляет билет сеанса, допустимый для чужого сервера назначения.
Для более удаленных доменов этот процесс просто повторяется.
Для доступа к принципалу безопасности в домене, расположенном на расстоянии двух узлов в иерархии доменов Active Directory, клиент запрашивает билет сеанса для сервера назначения в своем KDC, который в ответ пересылает ему билет направления к следующему домену в пути. Затем клиент запрашивает билет сеанса, используя только что полученный билет назначения. Этот сервер просто ответит билетом назначения, допустимым для следующего сервера в цепочке. Этот процесс будет продолжаться до тех пор, пока не будет достигнут локальный домен для принципала безопасности назначения.
В этот момент ключ сеанса технически - TGT и ключ сеанса предоставляется запрашивающему клиенту, который затем сможет пройти аутентификацию непосредственно у принципала безопасности назначения. Последняя важная концепция в аутентификации Kerberos - делегирование аутентификации. Делегирование аутентификации delegation of authentication - это механизм, посредством которого принципал безопасности дает возможность другому принципалу безопасности, с которым у него установлен сеанс, запрашивать аутентификацию от своего имени у третьего принципала безопасности.
Этот механизм важен в многозвенных приложениях, таких как web-узел с поддержкой базы данных. При помощи делегирования аутентификации клиент-web-браузер может пройти аутентификацию у web-cepвера и затем предоставить web-серверу специальный билет TGT, который сервер сможет использовать для запроса билетов сеансов от своего имени, web-сервер сможет затем использовать передаваемые web-клиентом идентификационные данные для аутентификации на сервере баз данных. 6.1.3. Групповые политикиГрупповая политика Group Policy - это основной механизм Windows 2000 при управлении конфигурацией клиентских рабочих станций для контроля за безопасностью и для администрирования. Политики policy - это, в общем случае, просто наборы изменений в установках компьютера по умолчанию.
Политики обычно организуются так, чтобы отдельные политики содержали изменения, реализующие конкретную цель - например, отключение или включение шифрования файловой системы или контроль за программами, которые разрешено запускать пользователю.
Групповые политики Group Policies применяются к элементам контейнера Active Directory таким, как домен или Organizational Unit Подразделение. Группы безопасности могут быть использованы для фильтрации групповых политик, но политики нельзя применять к группам безопасности. Групповая политика Windows 2000 не является только механизмом безопасности - ее основное предназначение состоит в управлении изменениями и конфигурацией но она позволяет администраторам создавать дополнительные системы безопасности, ограничивая свободу действий пользователей.
Групповые политики можно применять для управления следующими элементами политик компьютера computer policy настройки реестра, связанные с конфигурацией и управлением безопасности установка программного обеспечения сценарии, выполняющиеся при загрузке-завершении работы и входе-выходе из системы запуск служб разрешения реестра разрешения NTFS политики открытого ключа политики IPSec настройки системы, сети и компонентов Windows.
Групповые политики можно применять для управления следующими элементами политик пользователя user policy установка программного обеспечения настройки Internet Explorer сценарии входа-выхода в систему настройки безопасности Remote Installation Service служба удаленной установки перенаправление папок компоненты Windows настройки стартового меню, панели задач, рабочего стола и Control Panel Панель управления сетевые настройки настройки системы.
Объекты групповой политики Group Policy Objects по существу являются настраиваемыми файлами реестра и файлами поддержки, такими, как пакеты .msi и сценарии, определяемыми настройками политики, которые загружаются и применяются к входящим в домен клиентским компьютерам при начальной загрузке компьютера конфигурация компьютера и при входе пользователя в систему конфигурация пользователя. Объекты групповой политики и все файлы поддержки, требуемые для групповой политики, хранятся на контроллерах домена в общей папке SysVol. К одному компьютеру могут применяться несколько групповых политик, при этом каждая политика будет перезаписывать настройки предыдущей политики в соответствии со сценарием действует последняя примененная - если только определенная политика не сконфигурирована так, чтобы ее нельзя было перезаписать.
Каждый объект групповой политики состоит из двух частей конфигурации компьютера и конфигурации пользователя.
Можно сконфигурировать настройки и пользователя, и компьютера в одном объекте групповой политики, а в окне свойств политики можно отключить часть объекта, относящуюся к пользователю или компьютеру. Политики компьютера применяются во время начальной стадии работы системы перед входом пользователя в систему и во время периодических восстановлений. Политики компьютера регулируют операционную систему, приложения включая Windows Explorer и сценарии, выполняющиеся при загрузке-завершении работы.
В случае конфликта политики компьютера обычно имеют преимущества над политиками пользователя. Политики пользователя применяются после того, как пользователь вошел в систему, но перед тем, как ему будет разрешено работать на компьютере, а также во время цикла периодических обновлений. Политики пользователя регулируют поведение операционной системы, настройки рабочего стола, настройки приложений, перенаправление папок и пользовательские сценарии входа-выхода в систему.
Групповые политики называются групповыми политиками потому, что они применяются к группам пользователей, а именно к членам контейнеров Active Directory, таких как домены или контейнеры OU. Групповые политики иерархичны по своей природе многие политики могут быть применены к одному компьютеру или пользователю, они применяются в порядке иерархии. Кроме того, последующие политики могут перекрыть настройки предыдущих политик.
Это означает, что отдельные элементы политики можно детализировать при переходе от применяемых к большим группам, таким как домены, политик широкого действия, к узконаправленным политикам, применяемым к меньшим группам, таким как контейнеры OU. Групповые политики конфигурируются на следующих уровнях в следующем порядке. Локальный компьютер. Групповая политика применяется первой, поэтому она может быть перекрыта политикой домена. У каждого компьютера существует одна применяемая к нему локальная групповая политика.
Нелокальные групповые политики загружаются из Active Directory в зависимости от месторасположения пользователя и компьютера в Active Directory. Офис. Эти групповые политики уникальны тем, что они управляются из оснастки Active Directory Sites and Services Сайты и службы. Политики офисов применяются к офисам, поэтому их следует применять для вопросов, связанных с физическим расположением пользователей и компьютеров, а не с участием в безопасности домена.
Домен. Групповые политики применяются ко всем пользователям и компьютерам в домене, и именно здесь следует реализовывать глобальные политики организации. Контейнер OU Organizational Unit. Групповые политики применяются к входящим в них пользователям и компьютерам. Групповые политики применяются сверху вниз родитель, затем потомок иерархии OU. Группа безопасности. Группы безопасности функционируют по-другому, чем настоящие контейнеры доменов. В этом случае не определяются групповые политики, применяемые к группе безопасности, а фильтруются разрешаются или запрещаются применяемые к пользователю групповые политики на основе вхождения пользователя в группы безопасности.
Групповые политики применяются только целиком, нельзя указать, чтобы применялась только часть политики. Одна групповая политика может быть применена более чем к одному контейнеру в Active Directory, потому что групповые политики не хранятся в Active Directory месте их применения. Хранится только ссылка на объект групповой политики, сами объекты на самом деле хранятся в реплицируемой общей папке SysVol на контроллерах домена в домене.
Групповая политика домена управляется через оснастку Active Directory Sites and Services для групповых политик офисов или оснастку Active Directory Users and Computers Пользователи и компьютеры для всех остальных нелокальных групповых политик. Одна политика может быть применена к нескольким контейнерам Active Directory, хотя нет необходимости явно применять политику к детям контейнера, к которому уже применена политика, потому что политика будет уже применена к принципалу безопасности. 6.4.