Роль Active Directory
Отношения доверия между доменами
Для того чтобы пользователи, выполнив вход в сеть, могли работать со всеми ресурсами сети (что обычно называется единым входом), в Windows 2000 используются отношения доверия между доменами. Отношение доверия – логическая связь, устанавливаемая между доменами с целью обеспечения сквозной аутентификации, которая позволяет пользователям и компьютерам проходить аутентификацию в любом домене в пределах леса. Таким образом, пользователь или компьютер может получить доступ ко всем ресурсам в соответствии с имеющимися у него разрешениями, зарегистрировавшись в сети только один раз. Эта возможность перемещения между доменами проясняет смысл термина транзитивное доверие, обозначающий прохождение аутентификации в разных доменах в соответствии с цепной передачей отношений доверия между ними.
В отличие от сетей на основе Windows NT, в которых используются односторонние, нетранзитивные отношения доверия, при формировании дерева доменов под управлением Windows 2000 (подобного показанному на Рисунке 1 выше) между всеми доменами устанавливаются подразумеваемые отношения доверия. Это облегчает создание явных отношений доверия между доменами средних и крупных организаций. Каждый домен в пределах дерева связывается с родительским доменом двусторонними, а с остальными доменами – подразумеваемыми отношениями доверия. (Если для какого-либо домена двусторонние отношения доверия нежелательны, их можно явным образом сделать односторонними). Для организаций с несколькими доменами общее количество явно заданных односторонних отношений доверия значительно меньше при использовании Windows 2000, чем при использовании Windows NT 4.0, благодаря чему управление доменами значительно упрощается. Транзитивное доверие устанавливается внутри дерева по умолчанию, что очень удобно, поскольку дерево доменов обычно управляется одним администратором. Однако управление лесом одним администратором встречается не так часто, поэтому транзитивные отношения доверия между деревьями необходимо устанавливать отдельно.
Чтобы получить более ясное представление о функционировании отношений доверия, взгляните еще раз на Рисунок 1. Windows 2000 автоматически устанавливает двусторонние отношения доверия между корневым доменом Microsoft.com и двумя его дочерними доменами: FarEast.Microsoft.com и Europe.Microsoft.com. Далее, в силу того, что Microsoft.com доверяет обоим дочерним доменам, отношения доверия транзитивно устанавливаются и между доменами FarEast и Europe. Подобные отношения устанавливаются автоматически, если домены находятся под управлением Windows 2000. Если же в сети присутствуют также и домены, управляемые Windows NT, администраторы могут задавать явные односторонние отношения доверия, свойственные сетям Windows NT.
При аутентификации между доменами в Windows 2000 отношения доверия реализуются с помощью протокола Kerberos версии 5 и аутентификации NTLM (о которой речь ниже), что обеспечивает их обратную совместимость. Это важно, поскольку многие организации используют сложные модели организации сетей на основе Windows NT, включающие несколько главных доменов и множество доменов ресурсов, что требует больших финансовых и организационных затрат для управления отношениями доверия между ними. В силу того, что дереву доменов на основе Windows 2000 соответствует дерево транзитивных отношений доверия, использование Windows 2000 упрощает интеграцию сетевых доменов и управление ими для больших компаний. При этом необходимо иметь в виду, что установление транзитивного доверия не означает автоматического предоставления прав доступа тем, кто их не имеет в соответствии со списками управления доступом (ACL). Отношения транзитивного доверия служат, главным образом, для упрощения определения и настройки администраторами прав доступа.