ЗНАЕТЕ ИНТУИТ, Лекция, Доверителни отношения в горите и домейните

Често се случва корпоративна мрежа да се състои от няколко домейна, а понякога и гори, като в този случай вътрешните и външните граници могат да бъдат разграничени в корпоративната мрежа. Мрежите, разположени извън външната граница, ще продължат да се считат за мрежи, които по никакъв начин не се контролират от организации, докато вътрешните граници ще се считат за граници на домейни или гори от корпоративната мрежа на предприятието.

За да могат потребителите на различни домейни да имат достъп през вътрешните граници на корпоративната мрежа между домейни и гори, трябва да се установи връзка. За да изградите система от отношения на доверие, трябва: да документирате текущата архитектура на горите или домейните; определят необходимостта от достъп до ресурси във всички налични домейни; изберете посоката на доверие; определят ограничението на отношенията на доверие.

Да предположим, че съществуващата документация за архитектура на домейни е част от Политики за корпоративна мрежова сигурност, затова нека да преминем направо към втория етап и да посочим аспектите, които изискват внимание при анализа на нуждите от достъп до ресурси. Първо, трябва да се уверите, че достъпът до данни през вътрешната граница е наистина необходим (напълно възможно е данните да бъдат поставени на външен уеб сървър, тогава няма да е необходимо да преминавате вътрешната граница. Второ, вие трябва да вземе решение за локализирането на ресурси, до които се изисква достъп (за да се определи дали необходимите ресурси са в един и същи или в различни домейни, или може би на един сървър.) Трето, необходимо е да се разбере кой ще даде разрешения за достъп, който ще го контролира (да вземе решение относно собствениците на необходимите обекти и записи на административни сметки).

Доверието е от следните видове:

  1. липса на доверие (използва се по подразбиране в домейни на WindowsNT 4.0; прави домейн изолиран обект; предполага, че потребителите ще имат достъп до ресурсите на този домейн, ако имат подходящ акаунт в него);
  2. доверие между домейни в същата гора (всички домейни на WS2003 в една и съща гора са свързани чрез двупосочна връзка на преход. Това означава, че всеки домейн, който е член на такава връзка, се доверява на друг домейн, който също е член на посочения доверител);
  3. изправяне на доверие (доверията с домейн в същата гора са еднопосочни и не са преходни; той също се различава от доверието между домейните в същата гора по това, че съкращава доверителния път. В този случай билетите за сесия се изискват директно в целевия домейн и не пресичайте пълния път на йерархичните домейни в гората.);
  4. външно доверие (Връзката между доверието между домейн на WindowsNT 4.0 и някаква гора или домейн в друга гора. Тя е еднопосочна и не е преходна. За да установите двупосочно доверие, трябва да използвате две двупосочни доверителни линии, които трябва да свържат всички необходими двойки домейни.);
  5. доверие между горите (Това са двупосочни или еднопосочни тръстове между различни гори и винаги са преходни. За да ги организирате, двете гори трябва да работят в режим WS2003.).