Tworzenie relacji zaufania
Las usług AD DS reprezentuje granicę zabezpieczeń, zapewniając bezpieczne uwierzytelnianie i autoryzację dla użytkowników, komputerów i aplikacji. Czasami może być konieczne rozszerzenie tej granicy w celu uwzględnienia innych domen i lasów usług AD DS. Może to na przykład wynikać z fuzji i przejęć między organizacjami lub inicjatyw konsolidacji, tak jak w przypadku firmy Contoso.
Co to jest relacja zaufania?
Relacje zaufania usług AD DS umożliwiają dostęp do zasobów w środowisku usług AD DS z wieloma domenami i wieloma lasami. W lesie z jedną domeną wszyscy użytkownicy i zasoby, takie jak udziały plików, drukarki lub aplikacje współdzielą tę samą domenę, dlatego zarządzanie dostępem jest proste i łatwo dostępne. Jeśli masz wiele domen lub lasów, musisz ufać, aby zapewnić użytkownikom w jednej domenie bezpieczny dostęp do zasobów w innej domenie.
Domyślnie w lesie usług AD DS z wieloma domenami domeny tworzą strukturę podobną do drzewa z dwukierunkową relacją zaufania między bezpośrednio sąsiednimi domenami. Przechodniość zaufania oznacza, że istnieje ścieżka zaufania między wszystkimi domenami usług AD DS w tym samym lesie. Ponadto można tworzyć inne typy zaufania. W poniższej tabeli opisano główne typy zaufania.
Typ zaufania
Opis
Kierunek
Opis
Zewnętrzne
Nieprzechodnie
Jednokierunkowy lub dwukierunkowy
Włącz dostęp do zasobów przy użyciu pojedynczej domeny usług AD DS w innym lesie.
Obszar
Przechodnie lub nieprzejeżdżające
Jednokierunkowy lub dwukierunkowy
Ustanów ścieżkę uwierzytelniania między domeną usług AD DS systemu Windows Server i obszarem protokołu Kerberos w wersji 5 (v5), który implementuje przy użyciu usługi katalogowej innej niż usługi AD DS.
Las (kompletny lub selektywny)
Przechodnie
Jednokierunkowy lub dwukierunkowy
Zezwalaj dwóm lasom na udostępnianie zasobów.
Skrót
Nieprzechodnie
Jednokierunkowy lub dwukierunkowy
Skrócenie czasu uwierzytelniania między dwoma domenami, a nie bezpośrednio sąsiadujące domeny w tym samym lesie usług AD DS z wieloma domenami.
Uwaga
Relacje zaufania lasu zapewniają największą elastyczność z punktu widzenia uwierzytelniania. Są one również łatwiejsze do ustanowienia, konserwacji i administrowania niż oddzielne relacje zaufania między relacjami zaufania na poziomie domeny zewnętrznej i poszczególnymi domenami w dwóch lasach.
Tworzenie i konfigurowanie relacji zaufania lasu
Jeśli środowisko usług AD DS zawiera wiele lasów, można skonfigurować jednokierunkowe lub dwukierunkowe relacje zaufania między dowolną parą lasów. Dzięki jednokierunkowej relacji zaufania lasu można udzielić użytkownikom w zaufanym lesie dostępu do zasobów w lesie zaufanym. Dzięki dwukierunkowej relacji zaufania lasu można udzielić użytkownikom po każdej stronie zaufania dostępu do zasobów w innym lesie.
Podczas tworzenia zaufania należy określić domenę główną każdego lasu. Jednak ze względu na to, że relacje zaufania lasu są przechodnie dla wszystkich domen w każdym lesie, należy skutecznie ustanowić relację zaufania między każdą parą domen w obu lasach. Jednak w przeciwieństwie do relacji zaufania między wieloma domenami w tym samym lesie relacje zaufania lasu nie są przechodnie w wielu lasach. Relacje zaufania lasu można tworzyć tylko między dwoma lasami i nie można niejawnie rozszerzyć do trzeciego lasu. Oznacza to, że jeśli utworzysz relację zaufania lasu między lasem 1 i lasem 2 i utworzysz relację zaufania lasu między lasem 2 i lasem 3, las Forest 1 nie ufa niejawnie lasowi Forest 3.
Relacje zaufania lasu są szczególnie przydatne w scenariuszach obejmujących współpracę między organizacjami, fuzje i przejęcia lub w jednej organizacji, która ma więcej niż jeden las, w którym można odizolować dane i usługi Active Directory. Zaufanie lasu jest również przydatne dla dostawców usług aplikacji, dla współpracy ekstranetów biznesowych i dla organizacji, które chcą rozwiązania dla autonomii administracyjnej.
Przed zaimplementowanie zaufania lasu należy upewnić się, że rozpoznawanie nazw DNS istnieje między lasami. Aby zaimplementować takie rozpoznawanie nazw, można użyć kilku różnych technik rozpoznawania nazw DNS, takich jak strefy pomocnicze, strefy wycinków lub przekazywanie warunkowe.
Konfigurowanie zaawansowanych ustawień zaufania usług AD DS
W niektórych przypadkach możesz ograniczyć zakres relacji zaufania, aby zminimalizować możliwość nieautoryzowanego dostępu do zasobów w lesie. Kilka technologii może pomóc w osiągnięciu tego celu.
Filtrowanie identyfikatorów SID
Domyślnie podczas ustanawiania zaufania lasu lub domeny można włączyć kwarantannę domeny, znaną również jako filtrowanie identyfikatorów SID. Gdy użytkownik uwierzytelnia się w zaufanej domenie, użytkownik przedstawia żądanie autoryzacji zawierające atrybuty SID wszystkich grup, do których należy użytkownik. Ponadto żądanie autoryzacji użytkownika zawiera atrybut SID-History użytkownika i grupy użytkownika. Filtrowanie identyfikatorów SID blokuje użycie identyfikatorów SID znajdujących się w historii identyfikatorów SID, które nie pochodzą z zaufanej domeny. Zapobiega to potencjalnemu wykorzystaniu, które polega na hartowaniu atrybutu SID-History w celu uzyskania nieautoryzowanego dostępu do zasobów w zaufanej domenie.
Uwierzytelnianie selektywne
Podczas tworzenia zaufania lasu można zarządzać zakresem uwierzytelniania zaufanych podmiotów zabezpieczeń. Istnieją dwa tryby uwierzytelniania dla zaufania zewnętrznego lub lasu:
- Uwierzytelnianie całego lasu.
- Uwierzytelnianie selektywne.
Wybranie uwierzytelniania całego lasu umożliwia wszystkim użytkownikom w zaufanym lesie uwierzytelnianie dla usług i dostępu na wszystkich komputerach w lesie zaufania. W związku z tym administratorzy zasobów w lesie zaufania mogą udzielić użytkownikom z zaufanych uprawnień lasu do zasobów w lesie lokalnym. Ponadto wszyscy użytkownicy z zaufanego lasu są traktowani jako uwierzytelnieni użytkownicy w lesie zaufania. W rzeczywistości każdy zasób, który przyznaje uprawnienia do uwierzytelnionych użytkowników, staje się dostępny dla użytkowników w zaufanym lesie.
W przypadku wybrania uwierzytelniania selektywnego użytkownicy w zaufanym lesie nie będą traktowani jako uwierzytelnieni użytkownicy w lesie zaufanym. Zamiast tego należy jawnie wyznaczyć komputery, do których będą mogły się uwierzytelniać, udzielając im uprawnienia Dozwolone do uwierzytelniania na tych komputerach. Załóżmy na przykład, że masz relację zaufania lasu z lasem organizacji partnerskiej. Chcesz mieć pewność, że tylko użytkownicy z grupy marketingowej organizacji partnerskiej mogą uzyskiwać dostęp do folderów udostępnionych na określonym serwerze plików. W tym celu można skonfigurować uwierzytelnianie selektywne dla relacji zaufania, a następnie przyznać zaufanym użytkownikom prawo do uwierzytelniania tylko na tym jednym serwerze plików.
Uwaga
W przypadku korzystania z uwierzytelniania selektywnego oprócz prawa do uwierzytelniania użytkownicy z zaufanego lasu nadal potrzebują uprawnień na poziomie systemu plików i folderów w folderach udostępnionych, aby uzyskać dostęp do zawartości.
Pokaz
W poniższym filmie wideo pokazano, jak:
- Skonfiguruj wymagania wstępne dotyczące relacji zaufania.
- Utwórz relację zaufania.
Główne kroki procesu to:
- Utwórz dwa lasy usług AD DS. Wdróż dwa kontrolery domeny, z których każdy należy do oddzielnego lasu. Upewnij się, że ich nazwy nie są zgodne.
- Konfigurowanie przekazywania warunkowego DNS. Skonfiguruj przekazywanie warunkowe DNS na każdym kontrolerze domeny usług AD DS, aby zapewnić rozpoznawanie nazw DNS w lasach.
- Utwórz relację zaufania lasu z pierwszego lasu do drugiego. Użyj domena usługi Active Directory i relacji zaufania, aby ustanowić relację zaufania jednokierunkowego z pierwszego lasu do drugiego lasu.
- Utwórz relację zaufania lasu z drugiego lasu do pierwszego. Użyj domena usługi Active Directory i relacji zaufania, aby ustanowić relację zaufania jednokierunkowego z drugiego lasu do pierwszego lasu.