[ Pobierz całość w formacie PDF ]
.LSA skanuje również bazÄ™ SAM sprawdzajÄ…c, czy użytkownik albo grupa użytkownika jest czÅ‚onkiem grup lokalnych.Jeżeli jest, identyfikatory zabezpieczeÅ„ grup lokalnych sÄ… dodawane do identyfikatorów znajdujÄ…cych siÄ™ już w żetonie dostÄ™pu.llGdy użytkownik próbuje otworzyć udostÄ™pniony folder, lokalny system LSA porównuje identyfikatory zabezpieczeÅ„ z żetonu dostÄ™pu z identyfikatorami w deskryptorze zabezpieczeÅ„ folderu.LSA dopasowuje identyfikator grupy globalnej do identyfikatora na liÅ›cie odmowy dostÄ™pu, w zwiÄ…zku z czym użytkownik otrzymuje odmowÄ™ dostÄ™pu do folderu.lUjmujÄ…c rzecz w skrócie, zdolność użytkownika do uzyskania dostÄ™pu do zasobów na serwerze znajdujÄ…cym siÄ™ w tej samej domenie zależy od zawartoÅ›ci biletu Kerberos wydanego przez kontroler domeny.Kontroler domeny tworzy bilet Kerberos używajÄ…c listy identyfikatorów otrzymanej z LSA.LSA tworzy listÄ™ na podstawie zawartoÅ›ci atrybutu Member-Of (CzÅ‚onek) obiektu użytkownika oraz przeszukiw[Author ID1: at Wed Jul 18 18:51:00 2001]ania grup uniwersalnych w katalogu globalnym.Spróbujmy teraz rozważyć przypadek, gdy użytkownik próbuje uzyskać dostÄ™p do obiektu katalogu w innej domenie.PrzykÅ‚ad ten przedstawi sposób, w jaki LSA i KDC współpracujÄ… ze sobÄ… pomiÄ™dzy dwiema [Author ID1: at Wed Jul 18 18:49:00 2001]dwoma[Author ID1: at Wed Jul 18 18:49:00 2001] domenami.Dobrze znane identyfikatory zabezpieczeÅ„ (Well-Know SIDs) i czÅ‚onkowie grupAby uproÅ›cić nasze rozważania, pominÄ…Å‚em dobrze znane identyfikatory zabezpieczeÅ„ SID, które LSA doÅ‚Ä…cza do listy przekazywanej do KDC.Identyfikatory te reprezentujÄ… specjalne grupy posiadajÄ…ce przywileje systemowe.PrzykÅ‚adem może być identyfikator grupy Authenticated Users (Użytkownicy uwierzytelnieni), Everyone (Wszyscy) albo Network (Sieć).WiÄ™cej informacji na temat dobrze znanych identyfikatorów zabezpieczeÅ„ i ich funkcji znajdziesz w rozdziale 6.Zabezpieczanie obiektu katalogu za pomocÄ… lokalnej grupy domenowejSpójrz na rysunek 10.25.Użytkownik w domenie Company.com chce uzyskać dostÄ™p do o[Author ID1: at Wed Jul 18 18:52:00 2001]dcz[Author ID1: at Wed Jul 18 18:52:00 2001]y[Author ID1: at Wed Jul 18 18:52:00 2001]tu-zapisu [Author ID1: at Wed Jul 18 18:52:00 2001]odczytu/zapisu[Author ID1: at Wed Jul 18 18:52:00 2001] do kontenera [Author ID1: at Wed Jul 18 18:54:00 2001]OU w domenie Subsidiary.com.Użytkownik mógÅ‚by być przykÅ‚adowo kontrolerem przedsiÄ™biorstwa, który chce sprawdzić konfiguracjÄ™ kontenera albo konsultantem, który ma pomóc w rozwiÄ…zaniu problemu.Administrator domeny Subsidiary.com umieÅ›ciÅ‚ grupÄ™ lokalnej domeny na liÅ›cie kontroli dostÄ™pu kontenera OU i nadaÅ‚ jej prawo do odczytu-zapisu.[Author ID1: at Wed Jul 18 18:55:00 2001]odczytu/zapisu.[Author ID1: at Wed Jul 18 18:55:00 2001] Wpis kontroli dostÄ™pu na liÅ›cie zawiera identyfikator zabezpieczeÅ„ użytkownika domeny Company.com oraz ogólnÄ… maskÄ™ odczytu-zapisu.[Author ID1: at Wed Jul 18 18:55:00 2001]odcz[Author ID1: at Wed Jul 18 18:55:00 2001]y[Author ID0: at Thu Nov 30 00:00:00 1899]tu/zapisu.[Author ID1: at Wed Jul 18 18:55:00 2001]Rysunek 10.25.Użytkownik posiada dostÄ™p do obiektu katalogu znajdujÄ…cego siÄ™ na kontrolerze zaufanej domenyTree Root Trust = Relacja zaufania drzewa katalogowegoDirectory Information Store = Przechowywanie informacji katalogowychDomain Controller = Kontroler domenyDomain User = Użytkownik domenyGC Server = Serwer katalogu globalnegoMember Desktop = Stacja robocza domenyDomain Local Group in = Grupa lokalnej domeny wACL containing Subsidiary.com Domain Local Group = Lista kontroli dostÄ™pu (ACL) zawierajÄ…ca grupÄ™ lokalnej domeny Subsidiary.comKierunki relacji zaufaniaDwie domeny (Company.com i Subsidiary.com) sÄ… poÅ‚Ä…czone ze sobÄ… poprzez relacjÄ™ zaufania drzewa katalogowego.Jest to dwukierunkowa przechodnia relacja zaufania Kerberos, dlatego też rozróżnienie domeny „zaufanej” i „ufajÄ…cej” jest bardzo pÅ‚ynne [ Pobierz caÅ‚ość w formacie PDF ]