[ Pobierz całość w formacie PDF ]
.Omówione zostaną następujące tematy:lZabezpieczanie udostępnionego folderu za pomocą grup globalnych.[Author ID1: at Wed Jul 18 17:58:00 2001]llZabezpieczanie obiektu katalogu za pomocą grup lokalnych domenowych.[Author ID1: at Wed Jul 18 17:58:00 2001]llZabezpieczanie obiektu katalogu za pomocą grup uniwersalnych.[Author ID1: at Wed Jul 18 17:58:00 2001]lW celu jaśniejszego zilustrowania problemu, omawianyscenariusz[Author ID1: at Wed Jul 18 18:04:00 2001] będzie bardziej dotyczył obiektu folderu niż obiektu katalogu.Lokalne prawa administratora w domenieW poniższej dyskusji [Author ID1: at Wed Jul 18 18:08:00 2001][Author ID1: at Wed Jul 18 18:08:00 2001]a[Author ID1: at Wed Jul 18 18:08:00 2001] A[Author ID1: at Wed Jul 18 18:08:00 2001]dministratorzy wprowadzający lokalne zmiany w serwerach posiadają przywileje systemowe, gdyż są członkami grupy Domain Admins Global (Globalni administratorzy domeny).Zarówno klasyczny system NT, jak i Windows 2000 automatycznie dodają tę grupę do grupy Administrators (Administratorzy) podczas przyłączania serwera do domeny.Zabezpieczanie udostępnionego folderu za pomocą grup globalnychSpójrz na rysunek 10.24.Na przedstawionym schemacie użytkownik domeny Company.com chce uzyskać dostęp do udostępnionego[Author ID1: at Wed Jul 18 18:21:00 2001] folderu znajdującego się na serwerze w domenie Company.com.Użytkownik jest członkiem grupy globalnej w domenie Company.com.Rysunek 10.24.Udostępniony folder znajduje się na serwerze, do którego dostęp posiadają użytkownicy lokalnej domenyDirectory Information Store = Przechowywanie informacji katalogowychCompany.com Domain Controller = Kontroler domeny Company.comGlobal Group in Company.com Directory = Grupa globalna w domenie Company.comMember of Global Group = Członek grupy globalnejCompany.com Domain User = Użytkownik domeny Company.comGC Server = Serwer katalogu globalnegoCompany.com Member desktop = Komputer domeny Company.comSubsidiary.com Member Server = Serwer domeny Subsidiary.comShared folder = Udostępniony folderAccess Denied = Odmowa dostępuACL containing Company.com Global Group = Lista kontroli dostępu zawierająca grupę globalną Company.comAdministrator umieścił grupę globalną na liście ACL udostępnionego folderu z prawem odmowy dostępu.Deskryptor zabezpieczeń folderu zawiera więc wpis ACE identyfikatora zabezpieczeń grupy globalnej z maską Access Denied (Odmowa dostępu).Administrator przypisał również użytkownika do członków grupy globalnej.Z tego powodu użytkownik napotka na odmowę dostępu podczas próby otwarcia folderu.W dalszej części rozdziału omówione zostaną szczegóły realizacji tego typu sytuacji.Reasumując, użytkownik będący członkiem domeny próbuje uzyskać dostęp do udostępnionego[Author ID1: at Wed Jul 18 18:13:00 2001] folderu na innym serwerze znajdującym się w tej samej domenie.Użytkownik jest członkiem grupy globalnej, która ma prawo odmowy dostępu do folderu.Poniżej umieszczona została kolejność zdarzeń, przedstawiająca próbę uzyskania dostępu do folderu przez użytkownika.Procedura 10.7 Funkcjonalny opis uwierzytelniania użytkownika i grupy w obrębie jednej domenylPo zalogowaniu użytkownika do domeny i uwierzytelnieniu w kontrolerze domeny,[Author ID1: at Wed Jul 18 18:15:00 2001] LSA skanuje obiekt użytkownika, aby uzyskać identyfikator zabezpieczeń użytkownika z atrybutu Object-SID (Identyfikator zabezpieczeń obiektu).LSA musi zgromadzić ten i inne identyfikatory, aby przesłać je do centrum dystrybucji kluczy (KDC) Kerberos.[Author ID1: at Wed Jul 18 18:18:00 2001],kt[Author ID1: at Wed Jul 18 18:18:00 2001]ó[Author ID0: at Thu Nov 30 00:00:00 1899]re[Author ID1: at Wed Jul 18 18:18:00 2001] Identyfikatory [Author ID1: at Wed Jul 18 18:18:00 2001]dołączone do biletów TGT umożliwiąużytkownikowi dostęp do danych zasobów.llLSA sprawdza następnie listę nazw grup w atrybucie Member-Of (Członek) obiektu użytkownika [ Pobierz całość w formacie PDF ]
zanotowane.pl doc.pisz.pl pdf.pisz.pl centka.pev.pl
.Omówione zostaną następujące tematy:lZabezpieczanie udostępnionego folderu za pomocą grup globalnych.[Author ID1: at Wed Jul 18 17:58:00 2001]llZabezpieczanie obiektu katalogu za pomocą grup lokalnych domenowych.[Author ID1: at Wed Jul 18 17:58:00 2001]llZabezpieczanie obiektu katalogu za pomocą grup uniwersalnych.[Author ID1: at Wed Jul 18 17:58:00 2001]lW celu jaśniejszego zilustrowania problemu, omawianyscenariusz[Author ID1: at Wed Jul 18 18:04:00 2001] będzie bardziej dotyczył obiektu folderu niż obiektu katalogu.Lokalne prawa administratora w domenieW poniższej dyskusji [Author ID1: at Wed Jul 18 18:08:00 2001][Author ID1: at Wed Jul 18 18:08:00 2001]a[Author ID1: at Wed Jul 18 18:08:00 2001] A[Author ID1: at Wed Jul 18 18:08:00 2001]dministratorzy wprowadzający lokalne zmiany w serwerach posiadają przywileje systemowe, gdyż są członkami grupy Domain Admins Global (Globalni administratorzy domeny).Zarówno klasyczny system NT, jak i Windows 2000 automatycznie dodają tę grupę do grupy Administrators (Administratorzy) podczas przyłączania serwera do domeny.Zabezpieczanie udostępnionego folderu za pomocą grup globalnychSpójrz na rysunek 10.24.Na przedstawionym schemacie użytkownik domeny Company.com chce uzyskać dostęp do udostępnionego[Author ID1: at Wed Jul 18 18:21:00 2001] folderu znajdującego się na serwerze w domenie Company.com.Użytkownik jest członkiem grupy globalnej w domenie Company.com.Rysunek 10.24.Udostępniony folder znajduje się na serwerze, do którego dostęp posiadają użytkownicy lokalnej domenyDirectory Information Store = Przechowywanie informacji katalogowychCompany.com Domain Controller = Kontroler domeny Company.comGlobal Group in Company.com Directory = Grupa globalna w domenie Company.comMember of Global Group = Członek grupy globalnejCompany.com Domain User = Użytkownik domeny Company.comGC Server = Serwer katalogu globalnegoCompany.com Member desktop = Komputer domeny Company.comSubsidiary.com Member Server = Serwer domeny Subsidiary.comShared folder = Udostępniony folderAccess Denied = Odmowa dostępuACL containing Company.com Global Group = Lista kontroli dostępu zawierająca grupę globalną Company.comAdministrator umieścił grupę globalną na liście ACL udostępnionego folderu z prawem odmowy dostępu.Deskryptor zabezpieczeń folderu zawiera więc wpis ACE identyfikatora zabezpieczeń grupy globalnej z maską Access Denied (Odmowa dostępu).Administrator przypisał również użytkownika do członków grupy globalnej.Z tego powodu użytkownik napotka na odmowę dostępu podczas próby otwarcia folderu.W dalszej części rozdziału omówione zostaną szczegóły realizacji tego typu sytuacji.Reasumując, użytkownik będący członkiem domeny próbuje uzyskać dostęp do udostępnionego[Author ID1: at Wed Jul 18 18:13:00 2001] folderu na innym serwerze znajdującym się w tej samej domenie.Użytkownik jest członkiem grupy globalnej, która ma prawo odmowy dostępu do folderu.Poniżej umieszczona została kolejność zdarzeń, przedstawiająca próbę uzyskania dostępu do folderu przez użytkownika.Procedura 10.7 Funkcjonalny opis uwierzytelniania użytkownika i grupy w obrębie jednej domenylPo zalogowaniu użytkownika do domeny i uwierzytelnieniu w kontrolerze domeny,[Author ID1: at Wed Jul 18 18:15:00 2001] LSA skanuje obiekt użytkownika, aby uzyskać identyfikator zabezpieczeń użytkownika z atrybutu Object-SID (Identyfikator zabezpieczeń obiektu).LSA musi zgromadzić ten i inne identyfikatory, aby przesłać je do centrum dystrybucji kluczy (KDC) Kerberos.[Author ID1: at Wed Jul 18 18:18:00 2001],kt[Author ID1: at Wed Jul 18 18:18:00 2001]ó[Author ID0: at Thu Nov 30 00:00:00 1899]re[Author ID1: at Wed Jul 18 18:18:00 2001] Identyfikatory [Author ID1: at Wed Jul 18 18:18:00 2001]dołączone do biletów TGT umożliwiąużytkownikowi dostęp do danych zasobów.llLSA sprawdza następnie listę nazw grup w atrybucie Member-Of (Członek) obiektu użytkownika [ Pobierz całość w formacie PDF ]