[ Pobierz całość w formacie PDF ]
.T¹ mo¿liwoœci¹ jest sprawdzenie serwera kataloguglobalnego.Z tego powodu niezmiernie wa¿ne jest, aby ka¿dy kontroler domenymóg³ znaleŸæ katalog globalny.Kontroler domeny znajduje katalog globalny za pomoc¹ rekordów SRV w DNS.Wnormalnych okolicznoœciach kontroler samodzielnie wybiera katalog ze swojejw³asnej lokacji.Je¿eli ¿aden katalog globalny nie jest zwi¹zany z lokaln¹lokacj¹, kontroler musi przeszukaæ inn¹ lokacjê.Je¿eli inna lokacja równie¿nie udostêpnia katalogu globalnego, a ³¹cze z sieci¹ WAN udostêpniaj¹c¹ innelokacje jest niedostêpne, u¿ytkownik nie mo¿e siê zalogowaæ.Oznaki brakudostêpu do katalogu globalnego mog¹ byæ nastêpuj¹ce:U¿ytkownik próbuje zalogowaæ siê do domeny, lecz otrzymuje nastêpuj¹cykomunikat b³êdu: The system could not log you on because a domain controllercould not be contacted.(System nie móg³ Ciebie zalogowaæ, poniewa¿ kontrolerdomeny nie móg³ skontaktowaæ siê z.).Nie dotyczy to konta administratora.Podczas dodawania u¿ytkowników do listy kontroli dostêpu albo podczasmodyfikowania listy cz³onków grupy, gdy otwierasz okno Select User (Wybierzu¿ytkownika) i chcesz przejrzeæ zaufane domeny, wyœwietlany jest b³¹d Noobjects are available at this time (Aktualnie ¿aden obiekt nie jest dostêpny).Podczas dodawania u¿ytkowników za pomoc¹ konsoli Active Directory Users andComputers (U¿ytkownicy i komputery Active Directory), wyœwietlany jestkomunikat b³êdu The uniquness of this user’s proposed user logon name could notbe validated (Niepowtarzalnoœæ zaproponowanej nazwy logowania u¿ytkownika niemog³a zostaæ zatwierdzona).Po wyœwietleniu tego b³êdu wci¹¿ mo¿esz utworzyækonto u¿ytkownika, lecz niepowtarzalnoœæ jego nazwy zostanie zweryfikowanadopiero po uzyskaniu dostêpu do katalogu globalnego GC.Jak zapewne zd¹¿y³eœ zauwa¿yæ, utrata po³¹czenia z katalogiem globalnym jestniew¹tpliwie katastrof¹ i nale¿y do listy 10 powodów, dla których administratorsieci traci dobry humor.Z tego te¿ powodu warto posiadaæ co najmniej dwakatalogi globalne, znajduj¹ce siê w ró¿nych (odleg³ych) lokalizacjach.U¿ywanie grup jako pryncypiów zabezpieczeñNa podstawie powy¿szych przyk³adów móg³byœ pomyœleæ, ¿e zasady zarz¹dzaniatrzema wymienionymi grupami (lokalna grupa domenowa, grupa globalna iuniwersalna) nie komplikuj¹ wykonywanych zadañ.nale¿y do zbyt skomplikowanychzadañ.Hmmm.otó¿ nic bardziej z³udnego.Poni¿ej przedstawione zosta³y pewneprawid³owoœci, o których zawsze powinieneœ pamiêtaæ zasady, których powinieneœprzestrzegaæ podczas zarz¹dzania em grupami Windows 2000:Dostêpnoœæ grup na poszczególnych platformach konfiguracyjnychStacje robocze i wolnostoj¹ce serwery mog¹ posiadaæ tylko grupy lokalne.Grupyte s¹ przechowywane w bazie SAM.Kontrolery domeny trybu mieszanego mog¹ posiadaæ tylko grupy lokalne domenowe igrupy globalne.Kontrolery domeny trybu jednorodnego mog¹ posiadaæ grupy lokalne domenowe,globalne oraz uniwersalne.Ograniczenia zakresu grupGrupy lokalne na serwerach i stacjach roboczych domeny mog¹ byæ umieszczane naliœcie kontroli dostêpu tylko dla lokalnych obiektów zabezpieczeñ.Grupy lokalne domenowe mog¹ byæ umieszczane na liœcie kontroli dostêpu tylkodla obiektów kontrolerów domeny.Dotyczy to równie¿ praw systemowych zwi¹zanychz grupami wbudowanymi.Na przyk³ad, je¿eli Admin_Jan jest cz³onkiem grupyAdministratorzy w domenie Company.com, otrzyma on lokalne przywilejeadministracyjne na kontrolerach domeny, które nie bêd¹ dostêpne dla innychkomputerów domeny.Grupy globalne mog¹ byæ umieszczane na liœcie kontroli dostêpu dowolnegoobiektu zabezpieczeñ w domenie, ³¹cznie z komputerami i kontrolerami domeny.Grupy uniwersalne mog¹ byæ umieszczane na liœcie kontroli dostêpu dowolnegoobiektu zabezpieczeñ w dowolnej domenie lasu katalogowego.Ograniczenia cz³onkostwa grupCz³onkami grupy lokalnej mog¹ byæ: u¿ytkownicy z lokalnej bazy SAM; u¿ytkownicyoraz grupy globalne i uniwersalne z lokalnej domeny; grupy globalne iuniwersalne z zaufanych domen dla domeny lokalnej.W trybie jednorodnym obszarrelacji zaufania rozci¹ga siê na wszystkie domeny lasu katalogowego.Cz³onkami grupy lokalnej domenowej mog¹ byæ: u¿ytkownicy, komputery oraz grupylokalne, globalne i uniwersalne z domeny lokalnej; u¿ytkownicy, komputery orazgrupy globalne i uniwersalne z zaufanych domen.W trybie jednorodnym obszarrelacji zaufania rozci¹ga siê na wszystkie domeny lasu katalogowego
[ Pobierz całość w formacie PDF ]