Usługi Active Directory i domeny systemu Windows 2000 lub Windows Server 2003 (część 1)

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 310996 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

Informacje omówione w tym artykule zostały częściowo dostarczone przez: Microsoft Press.

Ten artykuł jest pierwszym z serii dwóch artykułów objaśniających usługi Active Directory i domeny systemu Windows 2000 lub Windows Server 2003. Aby wyświetlić część 2, kliknij następujące łącze:
310997 Usługi Active Directory i domeny systemu Windows 2000 lub Windows Server 2003 (część 2)
W części pierwszej tego artykułu poruszono następujące tematy:
  • Hierarchia domen
    • Domeny systemu Windows 2000 i Windows Server 2003
      • Domeny
      • Drzewa
      • Lasy
  • Relacje zaufania
    • Zaufania przechodnie
    • Zaufania jednokierunkowe
    • Zaufania skrzyżowane
W części drugiej tego artykułu poruszono następujące tematy:
  • Granice administracyjne
    • Domeny
    • Jednostki organizacyjne
  • Interakcja usług Active Directory
    • Emulacja hierarchii domen
    • Katalogowanie domeny (partycja katalogu)
    • Partycjonowanie katalogu
    • Uzyskiwanie informacji o obiektach w innej domenie
      • Rozpowszechnianie katalogu
      • Replikacja katalogu
    • Katalogowanie przedsiębiorstwa (wykaz globalny)
  • Wnioski
Te informacje są wyjątkiem z książki Active Directory Services for Microsoft Windows 2000 Technical Reference, rozdział 3: „Active Directory Services and Windows 2000 Domains”. Dowiedz się więcej o książce Active Directory Services for Microsoft Windows 2000 Technical ReferenceZostała ona zaktualizowana o informacje dotyczące systemu Microsoft Windows Server 2003.

Więcej informacji

Struktura domeny systemu Microsoft Windows 2000 lub Windows Server 2003 oraz skojarzone z nią obiekty zostały istotnie zmienione w porównaniu z ich wersją w systemie Windows NT 4. Odzwierciedlają one obecnie centralną pozycję usługi Active Directory w systemie Windows 2000 lub Windows Server 2003 oraz wymagania projektowe, dzięki którym jest ona skalowalną usługą katalogową przystosowaną bezpośrednio do potrzeb przedsiębiorstw. Niektóre z tych zmian są oczywiste, na przykład przejście na model przechodnich relacji zaufania, a inne trudniej uchwytne, na przykład wprowadzenie jednostek organizacyjnych. Niezależnie od tego, czy są to różnice oczywiste, czy bardziej subtelne, ich wyjaśnienie jest konieczne do zrozumienia interakcji i zależności między domenami systemu Windows 2000 lub Windows Server 2003 a usługami Active Directory. Usługa Active Directory emuluje model domen systemu Windows 2000 i Windows Server 2003, ale tę kwestię można także ująć odwrotnie i powiedzieć, że to model domen emuluje strukturę usługi. W każdym razie domeny systemu Windows 2000 lub Windows Server 2003 i usługa Active Directory są od siebie zależne, a nawet definiują wzajemnie własne charakterystyki. Ścisły i niepodzielny związek domen systemu Windows 2000 i Windows Server 2003 i usług Active Directory wymaga wyjaśnienia modelu domen systemu Windows 2000 i Windows Server 2003 oraz sposobu jego interakcji z usługami Active Directory. Z tego powodu ten rozdział zaczyna się od objaśnienia modelu domen systemu Windows 2000 i Windows Server 2003 i pokazania, dlaczego ten model tak bardzo różni się od modelu domeny systemu Windows NT.

Domeny systemu Windows 2000 i Windows Server 2003

Modele domen systemu Windows NT 4 nie są skalowalne. Można to wyrazić nieco inaczej, aby jakoś złagodzić wymowę tych słów, ale faktem jest, że model domen systemu Windows NT 4 z jego jednokierunkowym, nieprzechodnim zaufaniem wymaga dużego nakładu prac administracyjnych w przypadku implementacji w dużych przedsiębiorstwach. Ten problem nie występuje w systemie Windows 2000 lub Windows Server 2003 i w ich modelach domen, przede wszystkim dzięki nowemu podejściu do zaufania, ale także dzięki gruntownemu przemyśleniu koncepcji domeny, która obecnie korzysta ze standardów przemysłowych, takich jak protokół LDAP (Lightweight Directory Access Protocol) i system DNS (Domain Name Service).

Hierarchia domen

W sieciach systemów Windows 2000 i Windows Server 2003 domeny są zorganizowane hierarchicznie. Nowe hierarchiczne uporządkowanie domen doprowadziło do powstania pojęcia lasu i drzew. Nowe pojęcia oraz istniejące pojęcie domeny ułatwiają efektywne zarządzanie strukturą sieci systemów Windows 2000 i Windows Server 2003 w organizacjach.
Domeny
Podstawowa jednostka modelu domeny systemów Windows 2000 i Windows Server 2003 nie uległa zmianie; w dalszym ciągu jest nią domena. Domena jest administracyjną granicą, a w systemach Windows 2000 i Windows Server 2003 stanowi obszar nazw (omówiony w rozdziale 4) odpowiadający domenie DNS. Aby uzyskać więcej informacji o interakcji między usługami Active Directory i systemem DNS, zobacz rozdział 6 „Active Directory Services and DNS”.

Pierwsza domena tworzona we wdrożeniu systemu Windows 2000 lub Windows Server 2003 nosi nazwę domeny katalogu głównego i jak sama nazwa wskazuje, jest domeną nadrzędną dla wszystkich pozostałych domen utworzonych w drzewie domen. (Drzewa domen omówiono w następnej sekcji). Ponieważ struktury domen systemów Windows 2000 i Windows Server 2003 są ściśle związane z hierarchiami domen DNS, struktura domen systemów Windows 2000 i Windows Server 2003 przypomina znaną strukturę hierarchii domen DNS. Domeny katalogu głównego, takie jak domeny microsoft.com lub iseminger.com, stanowią podstawę hierarchii systemu DNS i struktury domeny systemów Windows 2000 i Windows Server 2003.

Domeny tworzone później w danej hierarchii domen systemu Windows 2000 i Windows Server 2003 stają się domenami podrzędnymi domeny katalogu głównego. Na przykład jeśli msdn jest domeną podrzędną domeny microsoft.com, to domena msdn okazuje się domeną msdn.microsoft.com.

Jak widać, systemy Windows 2000 i Windows Server 2003 wymagają, żeby domeny były domenami katalogu głównego albo domenami podrzędnymi w hierarchii domen. Systemy Windows 2000 i Windows Server 2003 wymagają także, żeby nazwy domen w danej domenie nadrzędnej były unikatowe, na przykład nie mogą istnieć dwie domeny o nazwie msdn będące bezpośrednimi domenami podrzędnymi domeny katalogu głównego microsoft.com. Mogą jednak istnieć dwie domeny msdn w całej hierarchii domen. Na przykład może istnieć domena msdn.microsoft.com i domena msdn.devprods.microsoft.com — obszar nazw microsoft.com ma tylko jedną domenę podrzędną o nazwie msdn i obszar nazw devprods.microsoft.com ma tylko jedną domenę podrzędną o nazwie msdn.

Podstawą koncepcji domen jest podział logiczny. W większości organizacji wymagających wielu domen systemu Windows 2000 lub Windows Server 2003 istnieje struktura logiczna odzwierciedlająca podział pracy lub zakres obowiązków. Podział na wiele jednostek (w firmach amerykańskich nazywanych czasami oddziałami) znacząco ułatwia zarządzanie organizacją. W efekcie organizacja jest dzielona w sposób bardziej logiczny, co czasami prowadzi do podziału pracy między różne sekcje organizacji. Inaczej mówiąc, kiedy logiczne jednostki gospodarcze (oddziały) są łączone w ramach większej jednostki (na przykład firmy), logicznie różne oddziały tworzą większą jednostkę. Chociaż praca w różnych oddziałach może być niezależna i różnorodna, oddziały łącznie składają się na większą, lecz logicznie pełną jednostkę. Ta koncepcja dotyczy również łączenia domen systemów Windows 2000 i Windows Server 2003 w jedną, większą, ciągłą jednostkę obszaru nazw nazywaną drzewem.
Drzewa
Drzewa — nazywane niekiedy drzewami domen — są kolekcjami domen systemów Windows 2000 i Windows Server 2003 tworzącymi ciągły obszar nazw. Drzewo domeny powstaje w momencie utworzenia domeny podrzędnej i jest przypisane danej domenie katalogu głównego. Techniczna definicja mówi, że drzewo jest ciągłą hierarchią nazw systemu DNS; mówiąc przenośnie, drzewo domeny wygląda jak odwrócone drzewo (z domeną katalogu głównego na samej górze) z gałęziami (domenami podrzędnymi) wyrastającymi niżej.

Utworzenie drzewa domeny umożliwia organizacjom stworzenie struktury logicznej domen, która będzie odzwierciedlać obszar nazw DNS. Na przykład firma David Iseminger and Company może mieć domenę DNS o nazwie micromingers.iseminger.com oraz różne podziały logiczne w ramach firmy, takie jak sprzedaż, księgowość, produkcja itd. W takiej sytuacji drzewo domeny może wyglądać jak na rysunku 3-1.

Zwiń ten obrazekRozwiń ten obrazek
 Obraz drzewa domeny micromingers.iseminger.com

Rysunek 3-1. Drzewo domeny micromingers.iseminger.com.

UWAGA: W tym momencie nietrudno zauważyć, że wszędzie korzystam z nazwy domeny iseminger.com. Nie wynika to z próżności autora, ale jest spełnieniem wymogów prawnych wydawcy. Wydawca prosił, aby nie umieszczać domen, które mogłyby być kontrowersyjne. „Tylko domeny należące do autora albo w oczywisty sposób fikcyjne!” powiedział. Autor ma domenę www.iseminger.com, więc musi być ona używana w całej książce. Stosowałem bardziej wymyślne nazwy, ale — niestety — trzeba się godzić z decyzjami prawników.

Organizacja złożona z logicznych oddziałów świetnie sprawdza się w firmach mających jedną domenę DNS, ale trzeba również wziąć pod uwagę problemy firm mających więcej niż jedną „firmę” w większym przedsiębiorstwie. Ten problem rozwiązuje użycie lasów w systemach Windows 2000 i Windows Server 2003.
Lasy
W niektórych organizacjach może istnieć wiele domen katalogu głównego, na przykład iseminger.com i microsoft.com, choć sama organizacja jest oddzielną jednostką (tak jak fikcyjna firma David Iseminger and Company w tym przykładzie). W takich wypadkach wiele drzew domen tworzy nieciągły obszar nazw nazywany lasem. Las to co najmniej jedna ciągła hierarchia drzew domen tworząca dane przedsiębiorstwo. Z punktu widzenia logiki oznacza to, że organizacja mająca tylko jedną domenę w drzewie domeny również jest uznawana za las. To rozróżnienie stanie się ważniejsze w dalszej części tego rozdziału, gdzie omówiono sposób interakcji usługi Active Directory z domenami i lasami systemów Windows 2000 i Windows Server 2003.

Model lasu umożliwia organizacjom nie tworzącym ciągłego obszaru nazw utrzymanie pewnej ciągłości organizacyjnej w zagregowanej strukturze domeny. Na przykład gdyby firma David Iseminger and Company — iseminger.com — była w stanie uciułać tyle pieniędzy, żeby kupić firmę o nazwie Microsoft mającą własną strukturę katalogową, struktury domen obydwu jednostek zostałyby połączone w jeden las. Posiadanie pojedynczego lasu ma trzy podstawowe zalety. Po pierwsze, łatwiej zarządzać relacjami zaufania (co umożliwia użytkownikom w jednym drzewie domeny uzyskać dostęp do zasobu znajdującego się w drugim drzewie). Po drugie, wykaz globalny zawiera informacje o obiektach w całym lesie, co umożliwia wyszukiwanie informacji w całym przedsiębiorstwie. Po trzecie, schemat usługi Active Directory dotyczy całego lasu. (W rozdziale 10 znajdują się informacje techniczne dotyczące schematu). Na rysunku 3-2 pokazano połączenie struktur domen iseminger.com i firmy Microsoft, linia między domenami katalogu głównego oznacza zaufanie protokołu Kerberos, które istnieje między nimi i ustanawia las. (Protokół Kerberos szczegółowo omówiono w rozdziale 8).

Choć w skład lasu może wchodzić wiele drzew domen, reprezentuje on jedno przedsiębiorstwo. Utworzenie lasu umożliwia wszystkim domenom członkowskim wspólne korzystanie z informacji (udostępnionych w wykazie globalnym). Czytelnik może się zastanawiać, jak drzewa domen w obrębie lasu ustalają relacje, dzięki którym całe przedsiębiorstwo (reprezentowane przez las) może funkcjonować jako jednostka. Dobre pytanie; najlepszą odpowiedzią będzie wyjaśnienie zasad działania relacji zaufania.

Relacje zaufania

Chyba najbardziej istotną różnicą między domenami systemu Windows NT 4 a domenami systemów Windows 2000 lub Windows Server 2003 jest zastosowanie i konfigurowanie relacji zaufania między domenami w tej samej organizacji. Zamiast ustanawiać siatkę jednokierunkowego zaufania (jak w systemie Windows NT 4), w systemach Windows 2000 i Windows Server 2003 zaimplementowano przechodnie zaufanie biegnące w górę i w dół (nowej) struktury drzewa domeny. Taki model upraszcza administrowanie siecią systemu Windows, co przedstawię na przykładzie liczbowym. Następujące dwa równania (proszę o wybaczenie, równania są tylko przykładowe, a nie do zapamiętania) ilustrują dodatkową pracę, którą w obu przypadkach trzeba wykonać w celach zarządzania. Równania przedstawiają liczbę relacji zaufania wymaganych przez dany typ zaufania w domenie, gdzie n to liczba domen:
Domeny systemu Windows NT 4 — (n * (n-1))
Domeny systemu Windows 2000 lub Windows Server 2003 — (n-1)
Dla przykładu rozważmy sieć mającą kilka domen i zobaczmy, jak wypada porównanie modeli domen. (Przyjęto założenie, że „kilka” oznacza pięć, czyli n = 5 w poniższych równaniach).
Domeny Windows NT 4: (5 * (5-1)) = 20 relacji zaufania
Domeny systemu Windows 2000 lub Windows Server 2003: (5 - 1) = 4 relacje zaufania
Zwiń ten obrazekRozwiń ten obrazek
 Obraz połączenia drzew domen Iseminger.com i Microsoft

Rysunek 3-2. Połączenie drzew domen Iseminger.com i Microsoft.

Jest istotna różnica w liczbie relacji zaufania, którymi trzeba zarządzać, ale zmniejszenie nie jest największą zaletą nowego podejścia do domen. W domenach systemów Windows 2000 i Windows Server 2003 zaufanie jest tworzone i implementowane domyślnie. Jeśli administrator nic nie robi, tylko instaluje kontrolery domen, zaufanie już istnieje. Automatyczne tworzenie relacji zaufania wiąże się z faktem, że domeny systemów Windows 2000 i Windows Server 2003 (w przeciwieństwie do domen systemu Windows NT 4) są tworzone hierarchicznie: istnieje domena katalogu głównego, domeny podrzędne w danym drzewie domeny i nic więcej. Dzięki temu systemy Windows 2000 i Windows Server 2003 automatycznie rozpoznają domeny dołączone w danym drzewie domeny, a po ustanowieniu relacji zaufania między domenami katalogu głównego automatycznie rozpoznają drzewa domen zawarte w lesie.

Wcześniej administratorzy musieli tworzyć relacje zaufania między domenami systemu Windows NT (a następnie zarządzać nimi) oraz zapamiętać kierunek przebiegu relacji zaufania (i ich wpływ na prawa użytkowników w każdej domenie). Różnica jest istotna, bo diametralnie się zmniejszają dodatkowe obowiązki administracyjne, a implementacja zaufania jest bardziej intuicyjna — to wszystko dzięki nowemu modelowi zaufania i hierarchicznemu podejściu do domen i drzew domen.

W systemach Windows 2000 i Windows Server 2003 istnieją trzy typy relacji zaufania, z których każdy pełni odpowiednią funkcję w strukturze domeny. Relacje zaufania dostępne w domenach systemów Windows 2000 i Windows Server 2003 są następujące:
  • Zaufania przechodnie
  • Zaufania jednokierunkowe
  • Zaufania skrzyżowane
Zaufania przechodnie
Zaufania przechodnie ustanawiają relację zaufania między dwiema domenami, która może przechodzić na inne domeny, na przykład jeśli domena A ufa domenie B, a domena B ufa domenie C, to domena A automatycznie ufa domenie C i na odwrót. Przedstawiono to na rysunku 3-3.

Zwiń ten obrazekRozwiń ten obrazek

		  Obraz zaufania przechodniego między trzema domenami

Rysunek 3-3. Zaufanie przechodnie między trzema domenami.

Zaufania przechodnie znacznie zmniejszają ilość pracy administracyjnej związanej z utrzymaniem relacji zaufania między domenami, gdyż nie istnieje skomplikowana siatka jednokierunkowych, nieprzechodnich zaufań, którą należy zarządzać. W systemach Windows 2000 i Windows Server 2003 przechodnie relacje zaufania między domenami nadrzędnymi i podrzędnymi są ustanawiane automatycznie w momencie utworzenia nowych domen w drzewie domeny. Zaufania przechodnie są ograniczone do domen systemu Windows 2000 lub Windows Server 2003 oraz do domen w ramach tego samego drzewa domeny lub lasu; nie można utworzyć przechodniej relacji zaufania z domenami niższego poziomu (system Windows NT 4 i starsze). Nie można także utworzyć zaufania przechodniego między dwiema domenami systemu Windows 2000 lub dwiema domenami systemu Windows Server 2003 znajdującymi się w różnych lasach.
Zaufania jednokierunkowe
Zaufania jednokierunkowe są nieprzechodnie, czyli definiują relację zaufania tylko między dwiema domenami i nie są dwukierunkowe. Można jednak utworzyć dwie oddzielne jednokierunkowe relacje zaufania (po jednej w każdym kierunku), aby utworzyć dwukierunkową relację zaufania, tak jak w czystym środowisku Windows NT 4. Należy jednak zauważyć, że nawet takie symetryczne zaufania jednokierunkowe nie są równoważne zaufaniu przechodniemu; relacja zaufania typu jednokierunkowego zachodzi tylko między dwiema domenami. Zaufania jednokierunkowe w systemach Windows 2000 i Windows Server 2003 są takie same, jak zaufania jednokierunkowe w systemie Windows NT 4 i są wykorzystywane w kilku sytuacjach w systemach Windows 2000 lub Windows Server 2003. Parę takich sytuacji opisano niżej.

Po pierwsze, zaufania jednokierunkowe są często wykorzystywane wtedy, gdy nowe relacje zaufania należy ustanowić między domenami niższego poziomu, takimi jak domeny systemu Windows NT 4. Ponieważ domeny niższego poziomu nie mogą wchodzić w skład środowiska zaufania przechodniego systemów Windows 2000 i Windows Server 2003 (takich jak drzewa lub lasy), należy ustanowić zaufania jednokierunkowe, aby umożliwić relacje zaufania między domeną systemu Windows 2000 lub Windows Server 2003 a domeną niższego poziomu systemu Windows NT.

UWAGA: Zaufania jednokierunkowe nie są potrzebne w przypadku migracji (np. przy uaktualnianiu istniejącego modelu domeny systemu Windows NT 4 do modelu domena/drzewo/las systemu Windows 2000 lub Windows Server 2003). Podczas procesu migracji z systemu Windows NT 4 do systemu Windows 2000 lub Windows Server 2003 ustanowione relacje zaufania są honorowane do momentu ukończenia migracji, kiedy wszystkie domeny są obsługiwane przez systemy Windows 2000 lub Windows Server 2003 i zostało utworzone środowisko zaufania przechodniego. Proces migracji związany z wieloma innymi szczegółami opisano w rozdziale 11 „Migrating to Active Directory Services”.

Po drugie, zaufania jednokierunkowe mogą być wykorzystane, jeśli trzeba ustanowić relację zaufania między domenami znajdującymi się w różnych lasach systemów Windows 2000 lub Windows Server 2003. Można użyć jednokierunkowych relacji zaufania między domenami w różnych lasach systemu Windows 2000 lub Windows Server 2003, aby wyodrębnić relację zaufania z domeną, w której utworzono i obsługuje się tę relację, zamiast tworzyć relację zaufania dotyczącą całego lasu. Zostało to wyjaśnione na przykładzie.

Wyobraźmy sobie organizację mającą dział produkcji i dział sprzedaży. Dział produkcji chce udostępnić niektóre informacje o procesach (przechowywane na serwerach znajdujących się w domenie systemu Windows 2000 lub Windows Server 2003) organizacji ds. normalizacji. Dział sprzedaży chce jednak zachować poufne informacje o sprzedaży i marketingu przechowywane na serwerach w prywatnej domenie, niedostępnej dla organizacji ds. normalizacji. (Być może sprzedaż idzie tak dobrze, że organizacja normalizacyjna chce postawić zarzut monopolu!). Wykorzystanie zaufania jednokierunkowego zabezpiecza informacje o sprzedaży. Aby zapewnić konieczny dostęp organizacji ds. normalizacji, można ustanowić zaufanie jednokierunkowe między domeną produkcji a domeną organizacji ds. normalizacji. Ponieważ zaufania jednokierunkowe są nieprzechodnie, relacja zaufania zostanie ustanowiona tylko między dwiema odpowiednimi domenami. Domeną ufającą jest domena produkcji, więc żadne zasoby domeny organizacji ds. normalizacji nie będą dostępne dla użytkowników w domenie produkcji.

Oczywiście w obu scenariuszach wykorzystania zaufania jednokierunkowego można utworzyć zaufanie dwukierunkowe przy użyciu dwóch pojedynczych jednokierunkowych relacji zaufania.
Zaufania skrzyżowane
Zaufania skrzyżowane służą do zwiększania wydajności. Dzięki zaufaniom skrzyżowanym powstaje wirtualny most weryfikacji zaufania w ramach hierarchii drzewa lub lasu, co umożliwia szybsze potwierdzanie (lub odmawianie) relacji zaufania. To musi wystarczyć za krótkie wyjaśnienie, ponieważ żeby naprawdę zrozumieć, jak i dlaczego stosuje się zaufania skrzyżowane, trzeba zrozumieć, w jaki sposób są obsługiwane uwierzytelnienia międzydomenowe w systemach Windows 2000 i Windows Server 2003.

Kiedy domena systemu Windows 2000 lub Windows Server 2003 musi uwierzytelnić użytkownika (lub w ogóle zweryfikować żądanie uwierzytelniania) w zasobie znajdującym się w innej domenie, wykonuje operacje podobne do kwerend DNS. Systemy Windows 2000 i Windows Server 2003 najpierw określają, czy zasób znajduje się w domenie, w której przedstawiono żądanie. Jeśli zasób nie znajduje się w domenie lokalnej, kontroler domeny (a konkretnie usługa KDC [Key Distribution Service] na kontrolerze domeny) przekazuje klientowi odwołanie do kontrolera domeny w następnej domenie w hierarchii (do góry lub w dół). Następny kontroler domeny sprawdza „zasób lokalny” w analogiczny sposób, aż żądanie dotrze do domeny, w której ów zasób się znajduje. (Ten proces odwołań szczegółowo opisano w rozdziale 8).

Mimo że „wędrówka w drzewie domen” dobrze funkcjonuje, wirtualne wędrówki w hierarchii domeny są czasochłonne, co sprawia, że zmniejsza się wydajność udzielania odpowiedzi. Aby łatwiej zrozumieć te kwestie, wyobraźmy sobie następującą sytuację kryzysową:

Znajdujemy się na lotnisku, na którym dwa skrzydła terminalu tworzą literę V. Terminal A znajduje się po lewej stronie litery V, a terminal B po prawej stronie. Bramki są ponumerowane kolejno, więc bramka 1 terminalu A i terminalu B znajduje się blisko podstawy litery V (gdzie oba terminale się łączą), a obie bramki 15 znajdują się na krańcach litery V. Wszystkie bramki łączą się z wnętrzem litery V. Spieszymy się na samolot i docieramy do bramki 15 terminalu A (na skraju litery V), gdzie stwierdzamy, że samolot odlatuje z terminalu B. Wyglądamy przez okno i widzimy samolot przy bramce 15 terminalu B. Żeby tam dotrzeć, musimy przejść (a właściwie przebiec) całą drogę z powrotem do podstawy litery V, a następnie przetruchtać (bo już się zmęczyliśmy) całą drogę do terminalu B, aby dotrzeć do bramki 15 w chwili, kiedy samolot odlatuje bez nas. Siedzimy w poczekalni i zabijamy czas, bo trzeba poczekać dwie godziny na następny lot. Patrząc na drugi koniec litery V w terminalu A, gdzie — jak początkowo myśleliśmy — miał być nasz samolot, wpadamy na wspaniały pomysł: należy zbudować pomost nad krańcami terminali, aby tacy pasażerowie, jak my mogli szybko przejść z bramki 15 terminalu A do bramki 15 terminalu B. Czy to ma sens? Tylko wtedy, gdy na bramkach 15 obu terminali panuje spory ruch.

Na podobnej zasadzie zaufania skrzyżowane mogą stanowić most uwierzytelniania między domenami, które znajdują się w logicznie odległych miejscach w hierarchii lasu lub drzewa i charakteryzują się dużym ruchem związanym z uwierzytelnianiem. Co to jest duży ruch związany z uwierzytelnianiem? Przykładem mogą być dwie gałęzie drzewa domeny systemu Windows 2000 lub Windows Server 2003. Pierwsza gałąź składa się z domen A, B, C i D. Domena A jest nadrzędna wobec domeny B, B jest nadrzędna wobec C, a C jest nadrzędna wobec D. Druga gałąź składa się z domen A, M, N i P. Domena A jest nadrzędna wobec domeny M, M jest nadrzędna wobec N, a N jest nadrzędna wobec P. Zależności są trochę skomplikowane, więc ilustrację tej struktury przedstawiono na rysunku 3-4.

Zwiń ten obrazekRozwiń ten obrazek
 Obraz przykładowej hierarchii domen

Rysunek 3-4. Przykładowa hierarchia domen.

Wyobraźmy sobie teraz użytkowników w domenie D, którzy regularnie korzystają z zasobów znajdujących się z jakichś powodów w domenie P. Kiedy użytkownik w domenie D chce skorzystać z zasobów w domenie P, systemy Windows 2000 i Windows Server 2003 realizują to żądanie, idąc po ścieżce odwołań prowadzącej do podstawy drzewa (w tym wypadku jest nią domena A), a następnie schodząc na odpowiednią gałąź drzewa domeny, aż do domeny P. Jeśli uwierzytelnienia są ciągłe, taka metoda tworzy duży ruch. Lepszym podejściem jest utworzenie zaufania skrzyżowanego między domenami D i P, które umożliwi uwierzytelnianie między domenami bez konieczności wędrówki do podstawy drzewa domeny (lub domeny bazowej, w której gałęzie drzewa się rozdzielają). W rezultacie zwiększa się wydajność uwierzytelniania.

Materiały referencyjne

Informacje zawarte w tym artykule są zaczerpnięte z książki Active Directory Services for Microsoft Windows 2000 Technical Reference opublikowanej przez wydawnictwo Microsoft Press.

Zwiń ten obrazekRozwiń ten obrazek

		  Obraz książki „Active Directory Services for Microsoft Windows 2000 Technical
		  Reference”


Dowiedz się więcej o książce Informacje zawarte w tym artykule są zaczerpnięte z książki Active Directory Services for Microsoft Windows 2000 Technical Reference opublikowanej przez wydawnictwo Microsoft Press.

Aby uzyskać więcej informacji o tej publikacji i innych tytułach wydawnictwa Microsoft Press, odwiedź witrynę http://mspress.microsoft.comDOTYCZY TYLKO LOKALIZATORÓW

Właściwości

Numer ID artykułu: 310996 - Ostatnia weryfikacja: 20 stycznia 2004 - Weryfikacja: 5.2
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Słowa kluczowe: 
kbinfo KB310996

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com