active directory indsigt (del 2)

, indledningen, stoler på, er en del af active directory det tværgående miljøer muligt ved at gøre det muligt for brugere i et område, som skal bekræftes af et område registeransvarlige i et andet område.de grundlæggende kendsgerninger om fonde er kendt af alle aktive adresseregister administrator, nemlig:,,, stoler på mellem områder inden for en aktiv adresseregister skov er altid gensidigt og transitive.,, stoler på mellem skovenes grundlæggende områder (dvs. skov trusts) kan være enten envejs - eller to, men er altid transitivt og etablere en stol på forholdet mellem alle områder i hver skov.,, stoler på mellem skov og et specifikt område i en skov (dvs. eksterne trusts) kan være enten envejs - eller to, men som altid er nontransitive.,, stoler på mellem en aktiv directory domain og uden vinduer kerberos rige (dvs. rige trusts) kan være enten envejs - eller to, og de kan også enten være transitive eller nontransitive.,, genvej stoler på ca.n skabes mellem to områder for at forbedre brugernes logon gange mellem områder, f.eks. mellem et område på et område, træ og et område på et andet område træ i samme skov.genvej stoler på kan være enten envejs - eller to, og de er altid transitive.,,, i betragtning af ovenstående, hvad vi har brug for at vide om fonde?,, scripting tillidsforhold, stoler på kan skabes ved hjælp af den nye tillid troldmand, netdom command-line redskab eller vinduer powershell.der er imidlertid nogle forbehold.for eksempel, technet side for netdom på kommando, tyder på, at du ikke kan bruge denne kommando til at skabe en skov af tillid mellem to skove.da denne artikel i technet wiki indikerer, at du kan bruge en vinduer powershell manuskript, til at opnå dette.du kan også finde flere oplysninger om dette i denne post på yngel er weblog, og der er et manuskript kaldet ad tillid i technet manuskript register, som du kan bruge til at skabe en - eller gensidigt stoler på mellem to områder eller skove.,, stoler på under hjelmen, trustrelationer er repræsenteret inden for de aktive fortegnelse fortegnelse database som en slags ting kaldet stolede på tilgængelige genstande (tdos).de stoler på forhold, der er skabt, er forbundet med en enestående tdo, der er lagret i systemet container på dets område.attributter for den tdo nævne navnene på de områder, der er involveret, af den type der skabt tillid og om tillid er transitive eller ej.skov stoler på har også nogle yderligere egenskaber.det her technet postede fra 2009, viser, at der på grund af egenskaber for tdos.,, og du kan også bruge de få adtrust cmdlet af vinduer powershell windows server 2012 r2, til at vise alle stolede på område objekter i en skov eller har særlige egenskaber, som f.eks. tdos under en bestemt tro makker.der er også en version af denne cmdlet ringede get-adtrusts.ps1 (note flertal), som du kan downloade som et manuskript fra technet manuskript register, som du kan bruge på active directory miljøer på tidligere versioner af windows server.carl "utilsigtet citrix admin" webster siger dog, at han har identificeret nogle spørgsmål med get-adtrusts.ps1 manuskript i technet manuskript register, og i denne post på hans blog, han har skabt sin egen version af manuskriptet til at løse disse problemer.,, fonde og kerberos autentificering, kerberos v5 er en gensidig autentifikation protokol, der anvendes af aktive adresseregister for at kontrollere identiteten af brugere og net.trustrelationer gør det muligt for kerberos godkendelse udvides ud over område til andre områder i skoven.men hvad med autentificering, ud over din skov?jorge de almeida pinto har en fremragende række stillinger, der forklarer, hvordan du kan udvide kerberos autentificering, så det virker i en ekstern tillid, dvs. en tillid mellem skov og et bestemt område i en anden skov.du kan finde den sidste del af hans seks del artikel her, og det indeholder links til de tidligere artikler i serien.bemærk, at jorge 's metode virker kun, når de to skove har begge domænecontrollere løbe mindst windows server - 2008, r2.bemærker også, at der, så vidt jeg ved, hans holdning ikke er officielt støttet af microsoft, så brug det på din egen risiko. her er et par andre nyttige midler, der kan bruges, hvis du ønsker at bruge kerberos over en ekstern tillid:,,, kerberos i en aktiv adresseregister skov på eksterne tillid. (xitnotes), betingelser for kerberos anvendes over en ekstern trust (active directory dokumentation team), få kerberos skov søgen for (kfso) (technet bibliotek), stoler på mellem organisatoriske enheder (l), i active directory på en grundlæggende er et forhold mellem to områder, eller to skove en skov og et område i en skov, og så videre.men skovene og områder, ikke kun "strukturelle" elementer af deres aktive adresseregister miljø, der er også elementer, kaldet organisatoriske enheder (l).du kan skabe hierarkiske strukturer inden for hvert område af udvalget til at organisere brugeren og edb - regnskaber og andre aktive adresseregister genstande i området.du kan forbinde gruppe politik genstande (gpos) til hver at du styre, kontrollere og lås, hvad disse konti kan gøre eller ikke gøre.,, hvad så med fonde?kan du lave en tillid til forholdet mellem siger, du i et område i en skov, og en ud af et område i en anden skov?desværre stoler ikke kan skabes for forskellige, men der er en slags løsning tilgængelige kaldet selektiv autentificering, der giver en metode til at kontrollere, hvor grupper af brugere i en betroet skov kan få adgang til fælles ressourcer i at stole på skov.i bund og grund som denne technet artikel forklarer, selektiv autentificering, giver dig mulighed for at begrænse omfanget af en trust forhold, så det gælder kun for det active directory genstande du udtrykkeligt angives,.,, men du stoler på en skov?,, stoler på mellem skove er normalt gennemføres i situationer, hvor en virksomhed erhverver en anden eller fusionerer med et andet.er der nogen risici, der er forbundet med at skabe tillid mellem to skove?naturligvis er der, fordi du er dybest set giver det andet selskab nøglerne til dit kongerige.selv hvis du har erhvervet de øvrige aktiviteter, og det betyder ikke, at man automatisk bør fuldt ud på deres personale.så før du forsøger at skabe en international skov tillid eller gennemføre noget som selektiv godkendelse mellem to skove, læs technet artikel sikkerhedsmæssige overvejelser for investeringsfonde,.,, stoler på mellem geografisk adskilte skove, lad os sige, du har to skove, i nordamerika og den anden i asien, og de ønsker at etablere en skov af tillid mellem dem.det ville være rart, hvis du havde et højhastighedstog, der forbinder de to net lejede wan, men du har ikke det, fordi det ville være for dyrt.hvad kan du gøre?,, den bedste løsning ville være at skabe en peer - to - vpn - mellem den demilitariserede zone i en skov med den demilitariserede zone i den anden skov.du burde være i stand til at gøre det let, hvis din dmz i hver skov er ved hjælp af en virksomhed - firewall apparat.når du har gjort det her, skal du være i stand til at skabe tillid mellem de to skove.,, fjerntliggende desktop - port, og stoler på, rd gateway er dybest set en server, der anvendes som en port mellem din virksomheds netværk (corpnet) og internet.rd port er udformet til at give tilladelse til fjerntliggende brugere til at forbinde computere på din virksomheds netværk fra en computer, som har en internetforbindelse.rd gateway gør dette ved fjernbetjening, desktop - protokol (pdr) og sikre http (https).en vigtig betragtning om stoler på, er, at rd gateway er ’ t støtte adgang til midler fra ikke - stolede på områder, bør de i det mindste have et tillidsforhold mellem to domænecontrollere konfigureret.og hvis du vil udvide dit domæne i din "dmz" på en måde, der støtter rd gateway, du skal læse denne artikel fra vinduerne det pro.,, system center konfiguration manager og stoler på, siger, at man bruger configmgr i skoven en til at forvalte de servere og virtuelle maskiner og andre systemer i skoven... du så skabe en tillid mellem skov og en anden skov, skov b. kan du bruge configmgr at forvalte systemer i skov b?ja, du kan, med følgende forbehold:,,, du bliver nødt til at skabe en ny klient skub til skov b og tilføje det til de lokale admins gruppe af systemerne i skov b, kan det være nødvendigt at åbne yderligere firewall havne i den demilitariserede zone i skovene.,,, der er mere i det, end det dog, så skal du også læse de fire blog, som neil peterson, der er microsoft førende område ingeniør (pfe).,, har spørgsmål om fonde?,, hvis du har spørgsmål om tillid, det bedste sted at bede dem er active directory domain services forum om technet.,



Previous:
Next Page: