1. Location:
  2. / Computer learning >> Datamaskin læring >> system >> windows server >> windows server 2012 >>

Active Directory Insights (del 2)


Innledning

Stiftelser er en funksjon av Active Directory som gjør multi-domenemiljøer mulige ved at brukerne i ett domene for å bli godkjent av en domenekontroller i et annet domene. De grunnleggende fakta om stiftelser er godt kjent av alle Active Directory administrator, nemlig:

Stiftelser mellom domener innenfor en Active Directory-skogen er alltid toveis og transitive

Stiftelser mellom. skog rotdomener (dvs. skog stiftelser) kan være enten enveis eller toveis, men er alltid transitive og etablere et tillitsforhold mellom hvert domene i hvert skogen.

Stiftelser mellom ett skog og et bestemt domene i en annen skog (dvs. eksterne stiftelser) kan være enten enveis eller toveis, men er alltid nontransitive.

Stiftelser mellom et Active Directory-domene og et ikke-Windows Kerberos riket (dvs. riket foretakene) kan være enten enveis eller toveis, og de kan også være enten transitive eller nontransitive.

Snarveisforetakene kan opprettes mellom to domener for å forbedre brukerpåloggings ganger mellom domenene, for eksempel mellom et domene i ett domene tre og et domene i en annet domene tre i samme skog. Snarvei klareringer kan være enten enveis eller toveis, og er alltid transitive.

Gitt alle de ovennevnte, hva annet trenger vi å vite om stiftelser?

Scripting tillit relasjoner

Stiftelser kan lages ved hjelp av New Trust Wizard, den NETDOM kommandolinjeverktøyet eller Windows Powershell. Det er imidlertid noen begrensninger. For eksempel indikerer TechNet side for NETDOM tillit kommando som du ikke kan bruke denne kommandoen for å opprette en skog tillit mellom to skoger. Men som denne artikkelen i TechNet Wiki indikerer at du kan bruke et Windows Powershell script for å oppnå dette. Du kan også finne mer informasjon om dette i dette innlegget på Spat sin weblogg, og det er et script som heter AD Stol på TechNet Script Repository som du kan bruke til å lage en- eller to-veis klareringer mellom to domener eller skog.
< h2> Stiftelser under panseret

Klarerings relasjoner er representert i Active Directory-katalogdatabase som en type objekt kalt klarert domene gjenstander (Tdos). Hver tillitsforhold som er opprettet er forbundet med en unik TDO som er lagret i system beholderen i sitt domene. Attributtene til TDO nummerere navnene på de domener som er involvert, den type tillit skapes, og om tillit er transitive eller ikke. Skog stiftelser har også noen ekstra attributter. Dette arkivert TechNet blogginnlegg fra 2009 viser hvordan du kan vise egenskapene for Tdos.

Du kan også bruke Get-ADTrust cmdlet for Windows Powershell i Windows Server 2012 R2 for å vise alle klarert domene objektene i en skog eller å ha spesifikke egenskaper som Tdos har en spesifisert tillit partner. Det finnes også en versjon av denne cmdlet heter Get-ADTrusts.ps1 (merk flertall) som du kan laste ned som et skript fra TechNet Script Repository som du kan bruke på Active Directory-miljøer som kjører på tidligere versjoner av Windows Server. Carl "The Accidental Citrix Admin" sier Webster imidlertid at han har identifisert noen problemer med Get-ADTrusts.ps1 script i TechNet Script Repository, og i dette innlegget på bloggen sin har han skapt sin egen versjon av skriptet å løse disse problemene .

Stiftelser og Kerberos-godkjenning

Kerberos v5 er en gjensidig godkjenningsprotokoll som brukes av Active Directory for å bekrefte identiteten til brukere og nettverkstjenester. Tillitsforholdene gjør det mulig for Kerberos-godkjenning skal forlenges utover domene til andre domener i skogen. Men hva om godkjenning utover skogen? Jorge de Almeida Pinto har en utmerket serie innlegg som forklarer hvordan du kan utvide Kerberos-godkjenning, så det fungerer på tvers av en ekstern tillit dvs. en tillit mellom skog og et bestemt domene i en annen skog. Du kan finne den siste delen av hans seks deler artikkelen her, og det inneholder lenker til de tidligere artiklene i serien. Merk at Jorge metode fungerer bare når de to skogene har begge domenekontrollere som kjører minst Windows Server 2008 R2. Legg også merke til at så vidt jeg vet hans tilnærming ikke er offisielt støttet av Microsoft, så bruk den på egen risiko.

Her er et par andre nyttige ressurser som kan være til nytte hvis du ønsker å bruke Kerberos over en ekstern tillit:

Kerberos i et Active Directory-skogen tillit vs. eksterne Trust (xitnotes)

Vilkår for Kerberos som skal brukes over en ekstern Trust (Active Directory Dokumentasjon Team)

Konfigurer Kerberos Forest Søk Order (KFSO) (TechNet Library)

Stiftelser mellom organisatoriske enheter (OUS)

I Active Directory en tillit er i utgangspunktet et forhold mellom to domener, eller to skoger, en skog og et domene i en annen skog, og så videre. Men skoger og domener er ikke de eneste "strukturelle" elementer av Active Directory-miljø, er det også elementer som kalles organisasjonsenheter (OUer). Du kan lage hierarkiske strukturer av organisasjonsenheter innenfor hvert domene for å organisere de bruker og datamaskin kontoer og andre Active Directory-objekter i domenet. Du kan deretter koble Group Policy Objects (GPOer) til hver OU å styre, kontrollere eller låse ned hva disse kontoene kan gjøre eller ikke gjøre.

Så hva med klareringer? Kan du skape et tillitsforhold mellom, sier en OU i et domene på en skog og en OU av et domene i en annen skog? Dessverre truster kan ikke opprettes for organisasjonsenheter, men det er en slags midlertidig løsning tilgjengelig kalles selektiv godkjenning som gir en måte å kontrollere hvilke grupper av brukere i et klarert skog kan få tilgang til delte ressurser i å stole på skogen. I utgangspunktet så dette TechNet-artikkelen forklarer, gjør selektiv godkjenning deg å begrense omfanget av et tillitsforhold, så det gjelder bare til Active Directory-objekter du eksplisitt angi

. Men skal du stole på en annen skog?

Stiftelser mellom skoger er vanligvis implementert i situasjoner som hvor ett selskap overtar et annet eller fusjonerer med en annen. Er det noen risiko involvert i å skape klareringer mellom to skoger? Selvfølgelig er det, fordi du i utgangspunktet gi det andre selskapet nøklene til ditt rike. Selv om du har lovlig kjøpt den annen virksomhet, betyr det ikke at du bør automatisk fullt stole på sine IT-ansatte! Så før du prøver å opprette en inter-skogen tillit eller gjennomføre noe sånt selektiv godkjenning mellom to skoger, må du lese TechNet-artikkelen sikkerhetshensyn for Stiftelser.

Stiftelser mellom geografisk atskilte skoger

La oss si at du har to skoger, en i Nord-Amerika og den andre i Asia, og du ønsker å etablere en skog tillit mellom dem. Det ville være fint om du hadde en høyhastighets dedikert utleid WAN-kobling som forbinder de to nettverkene, men du har ikke det, fordi det ville bli for dyrt. Hva kan du gjøre?

Din beste løsningen vil trolig være å opprette et punkt-til-punkt VPN mellom DMZ av ett skog med DMZ av den andre skogen. Du bør være i stand til å gjøre det lett hvis din DMZ i hvert skog bruker en enterprise-klasse brannmur apparatet. Når du har gjort dette, bør du være i stand til å skape tillit mellom de to skogene.

Remote Desktop Gateway og klareringer

RD Gateway er i utgangspunktet en server som brukes som en gateway mellom bedriftens nettverk (corpnet) og Internett. RD Gateway er utformet slik at autoriserte eksterne brukere å koble til datamaskiner på bedriftens nettverk fra enhver datamaskin som har en Internett-tilkobling. RD Gateway gjør dette ved hjelp av Remote Desktop Protocol (RDP) og Secure HTTP (HTTPS). En viktig faktor om stiftelser er at RD Gateway doesn ’ t støtte tilgang til ressurser fra ikke-klarerte domener; de bør minst ha en vei og tillit mellom to domenekontrollere konfigurert. Og hvis du ønsker å utvide ditt domene i din DMZ på en måte som støtter RD Gateway, bør du lese gjennom denne artikkelen fra Windows IT Pro.

System Center Configuration Manager og klareringer

Si at du bruker ConfigMgr i Forest A å administrere servere og virtuelle maskiner og andre systemer i Forest A. Du kan deretter opprette en tillit mellom Forest A og en annen skog som heter Forest B. Kan du bruke ConfigMgr å administrere systemer i Forest B? Ja du kan, med følgende begrensninger:

Du må lage en ny klient push-konto i Forest B og legge den til den lokale admins gruppen av systemene i Forest B.

Du må kanskje åpne flere brannmurporter i DMZ av både skog.

Det er mer til det enn det men, så du bør også lese gjennom de fire blogginnlegg av Neil Peterson som er Microsoft Premier Feltet Engineer (PFE).

Fikk spørsmål om klareringer?

Hvis du har spørsmål om stiftelser, det beste stedet å spørre dem er Active Directory Domain Services forum på TechNet.



Previous:
Next Page: