Relacije poverenja predstavljaju mehanizam koji koristi aktivni direktorijum da bi obezbedio da korisnici koji su autentifikovani u svom domenu mogu pristupiti resursima koji se nalaze u bilo kom drugom domenu sa kojim je uspostavljena relacija poverenja.

U Windows 2003 Serveru postoje tranzitivne i netranzitivne relacije poverenja.

Ako prvi domen ima uspostavljenu relaciju poverenja sa drugim domenom, onda svi domeni koji imaju uspostavljenu relaciju poverenja sa prvim domenom automatski proširuju svoju relaciju poverenja i prema drugom domenu. Ovakva automatska relacija poverenja je tranzitivna. Primer takve relacije poverenja je relacija poverenja između domena prethodnika i domena naslednika.

Netranzitivna relacija poverenja nije automatska i mora biti uspostavljena eksplicitno. Primer ovakve relacije poverenja je spoljna relacija poverenja uspostavljena između domena koji se nalaze u dve različite šume domena.

U Windows 2003 Serveru postoje tri pravca relacija poverenja:

  • Jednostrana dolazna relacija poverenja - ako je podešena tako da prvi domen veruje drugom domenu, onda to znači da korisnici drugog domena mogu pristupati resursima u prvom domenu.
  • Jednostrana odlazna relacija poverenja - ako je podešena tako da je prvi domen onaj kome se veruje, onda to znači da korisnici prvog domena mogu pristupati resursima u drugom domenu.
  • Obostrane relacije poverenja - ako je podešena između dva domena, onda to znači da autentifikovani korisnici oba domena mogu pristupati resursima koji se nalaze u oba domena.


Windows 2003 Server podržava četiri tipa relacija poverenja: relacija poverenja između dve šume, prečica relacije poverenja između dva domena, spoljna relacija poverenja i relacija poverenja oblasti.
 
Relacija poverenja između dve šume domena

Slika 1. Relacija poverenja između dve šume domena


Relacija poverenja između dve šume domena formiraju relacije poverenja između svih domena u obe šume domena. Ovakve relacije poverenja mogu biti kreirane samo između korenskih domena u obe šume domena, one su tranzitivne i mogu biti jednostrane ili obostrane. Za razliku od automatski uspostavljenih relacija poverenja, ove relacije moraju biti uspostavljene ručno od strane administratora. Mogu biti uspostavljene samo ako su domenski kontroleri zasnovani na Windows 2003 Serveru.
Tranzitivnost ovih relacija poverenja se odnosi samo na domene unutar dve šume domena. To znači da ako prva šuma domena ima uspostavljenu relaciju poverenja sa drugom šumom domena, a druga šuma domena ima uspostavljenu relaciju poverenja sa trećom šumom domena, autentifikovani korisnici iz prve šume domena ne mogu pristupiti resursima koji se nalaze u trećoj šumi domena.
 
Prečica relacije poverenja


 Slika 2. Prečica relacije poverenja


Prečica relacije poverenja se koristi za optimizaciju procesa autentifikacije u kompleksnoj šumi domena. One su delimično tranzitivne i mogu biti jednostrane ili obostrane. Delimična tranzitivnost znači da se relacija poverenja proširuje na domene koji su ispod u hijerarhiji, ali ne i na one iznad. U slučaju na slici postoji relacija poverenja između domena E i domena A. Ta relacija se automatski proširuje i na domen C, ali ne i na korenski domen.

Spoljna relacija poverenja

 Slika 3. Spoljna relacija poverenja

 

Spoljna relacija poverenja je relacija poverenja koja je ručno kreirana između dva domena koja se nalaze u dve različite šume domena ili između Windows 2003 Server domena i Windows NT 4.0 domena. Ove relacije su netranzitivne i uvek jednostrane. Kada se uspostave, one omogućuju autentifikovanim korisnicima iz domena jedne šume domena da pristupe resursima koji se nalaze u domenu druge šume domena.

Relacija poverenja oblasti

Slika 4. Relacija poverenja oblasti

 

Relacija poverenja oblasti je relacija poverenja između  domena zasnovanog na Windows 2003 Server aktivnom direktorijumu i drugog domena, zasnovanog na drugoj platformi, kao što je npr. UNIX Kerberos. Ovakve relacije poverenja mogu biti tranzitivne i netranzitivne, jednostrane i obostrane, i omogućuju uspostavljanje relacije poverenja između sistema zasnovanih na različitim platformama.
Kada se vrši migracija aktivnog direktorijuma sa Windows NT 4.0 ili Windows 2000 na Windows 2003 Server platformu, potrebno je odlučiti da li da se nadograđuje svaki domen posebno ili da se izvrši restrukturiranje domena. Plan migracije  bi trebalo da bude takav da ima što je moguće manji uticaj na korisnike, ali i da uspešno zadovolji poslovne potrebe.

Nadogradnja je proces nadograđivanja primarnog domenskog kontrolera (PDC) i sekundarnog domenskog kontrolera (BDC) sa Windows NT 4.0 na Windows 2003 Server platformu, ili sa Windows 2000 na Windows 2003 Server. Nadogradnja može predstavljati najlakši vid migracije koja nosi najmanje rizika jer zadržava najveći broj sistemskih podešavanja, osobina i konfigurisanosti mrežnih servisa. Da bi nadogradnja bila kompletno realizovana potrebno je da budu nadograđeni svi postojeći domenski kontroleri.

Da bi se Windows 2000 domenski kontroleri nadogradili ili bili u stanju da primaju instrukcije od  Windows 2003 Server domenskog kontrolera potrebno je da se njiihov sistem pripremi za taj proces. Za pripremu tog procesa se koristi Active Directory Preparation tool (Adprep.exe) koji se nalazi na disku sa instalacijom Windows 2003 Servera. Priprema sistema uključuje  proširenje šeme sa novim informacijama, uz očuvanje eventualnih prethodnih izmena, resetovanje dozvola nad određenim kontejnerima zbog poboljšanja sigurnosti i kopiranje administrativnih alata za upravljanje.


Slika 5. Migracija


Restrukturiranje domena obuhvata redizajn postojeće strukture šume domena prema poslovnim potrebama organizacije. Najčešći slučaj restrukturiranja je da se postojeći broj domena smanji, a broj objekata u njima poveća.

Šema Windows 2003 Server aktivnog direktorijuma definiše sve objekte koji se čuvaju u aktivnom direktorijumu, uključujući klase objekata koje direktorijum može da sadrži i tipove atributa za svaki objekat. Kada se šeme modifikuje dodaju se ili menjaju klase objekata ili menjaju podešavanja atributa kako bi se postiglo zadovoljenje poslovnih potreba. Ove modifikacije značajno utiču na mrežu, pa je potrebno kreirati polisu koja definiše kako će se i kada modifikovati šema.

Broj klasa i objekata se u Windows 2003 Server aktivnom direktorijumu drastično povećao, tako da će modifikacija šeme biti potrebna u vrlo retkim slučajevima. Tada je potrebno kreirati polisu za modifikaciju šeme, koja uključuje sledeće smernice:

  • Ovlastiti posebnu osobu ili ograničen broj osoba koje će izvoditi modifikaciju šeme.
  • Napraviti plan za testiranje modifikovane šeme u neprodukcionom okruženju kako bi se otkrile i ispravile greške.
  • Odrediti vreme vršenja modifikacije šeme. Ovo vreme bi  trebalo da bude za vreme manjih mrežnih opterećenja kako dodatni mrežni sobraćaj replikacije izazvane modifikacijom šeme ne bi ugrozio performanse mreže.

 Smernice za upravljanje šemom:

  • Vršiti modifikaciju šeme samo u slučaju da je to apsolutno neophodno.
  • Napraviti plan, izraditi dokumentaciju i implementirati startegiju modifikacije.
  • Koristiti što je moguće jednostavniji pristup. Koristiti postojeće atribute za nove klase.
  • Zahtevati testiranje šeme u neprodukcionom okruženju.
  • Koristiti ukazujuće nazive sa posebnim prefiksom kako bi se nove klase razlikovale od postojećih.
  • Strogo nadgledati članstvo u grupi SCHEMA ADMINS GROUP, jer samo članovi ove grupe mogu modifikovati šemu. Dobra praksa je da se članovi ove grupe dodaju samo za vreme izvršavanja modifikacije šema, a da se potom izbrišu kako ne bi došlo do slučajne izmene u šemi.
Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

  • Strategija poverenja, plan migracije, upravljanje šemom 1
  • Strategija poverenja, plan migracije, upravljanje šemom 2
  • Strategija poverenja, plan migracije, upravljanje šemom 3