Rozdział
12
Konfiguracja relacji
upoważnienia
h
Konfigurowanie domeny
upoważnionej
W przyjętym modelu główną domenę
ADMIN łączy jednostronna relacja
upoważnienia z
domeną PROJEKT.
Segmentem upoważnionym jest
domena ADMIN. Ustanawianie relacji
jest prostą czynnością, którą inicjuje
administrator domeny upoważnionej.
W
rozdziale 10 zaplanowaliśmy, że
struktura sieci przedsiębiorstwa ORBITA
będzie skonstruowana na bazie modelu
z domeną
główną. Takie rozwiązanie
umożliwia tworzenie domen dla wybranych
wydziałów i
powierzenie ich personelowi
odpowiedzialności za zasoby i administrację
domeną. W
konstruowanym przykładzie
zaplanowano wydzielić specjalną domenę
PROJEKT, dla wydziału badawczo-
projektowego. Ponieważ relacje
upoważnienia nie są przechodnie, tworzą
efektywną przegrodę, która z jednej strony
pozwala przyznać użytkownikom domeny
pełną władzę nad swoim segmentem sieci,
a z drugiej dowolnie ograniczyć ich wpływ na
zarządzanie domeną główną lub ewentualnie
domenami innych wydziałów.
h
Konfigurowanie domeny
upoważniającej
Druga część procesu tworzenia relacji
należy do administratora domeny
zasobów (upoważniającej). Po
otrzymaniu hasła od kolegi
realizującego pierwszą część zadania,
pozostaje mu wykonać kilka prostych
czynności.
h
Weryfikacja relacji
Istnieje kilka metod pozwalających
sprawdzić, czy relacją została
nawiązana prawidłowo. Niektóre
posługują się narzędziami pakietu
Windows NT 4.0 Server Resource Kit.
h
Wykorzystanie relacji upoważnienia
Kolejny etap instalacji można opisać
trzema zdaniami: tworzenie grup
ogólnych w
domenie ADMIN;
dołączanie użytkowników do grup
ogólnych; przydzielanie grupom
ogólnym pozwoleń dostępu do
zasobów domeny PROJEKT.
Część III
Konfiguracja przykładowego modelu z domeną główną
290
Konfiguracja domeny upoważnionej
Na początek należy utworzyć konta grup w domenie ADMIN. Następnie
ustanowić relację upoważnienia między domenami ADMIN i PROJEKT.
Relacja umożliwia powierzenie odpowiedzialności za zarządzanie
zasobami domeny PROJEKT personelowi wydziału badawczo-
projektowego. Wyznaczeni administratorzy domeny PROJEKT będą
mogli wydzielać w swojej domenie zasoby, przeznaczone do wspólnego
użytku i przyznawać do nich odpowiednie pozwolenia dostępu dla grup
i użytkowników indywidualnych, pochodzących zarówno z domeny
ADMIN jak i z domeny PROJEKT.
Aby uprościć sobie pracę, administrator domeny ADMIN powinien
utworzyć grupę ogólną i dołączyć do niej konta osobiste personelu
wydziału badawczo-projektowego. Upoważniony administrator nie
będzie musiał udzielać indywidualnych pozwoleń dla użytkowników,
a jedynie dla całej grupy. Oczywiście przyznawanie pozwoleń
indywidualnych nie jest wykluczone, lecz zwiększa obciążenie osoby
zarządzającej kontami.
Rozpoczynamy proces ustanawiania relacji upoważnienia. Procedura jest
prosta i zajmuje łącznie kilka minut. Choć można inaczej, najlepiej zacząć
pracę w
domenie, która ma zostać upoważniona. Taka kolejność
gwarantuje większą sprawność procesu. Relacja może być
zweryfikowana natychmiast po zakończeniu pracy administratora
w domenie
upoważniającej. Sprawdzenie relacji ustanawianej
w odwrotnej kolejności może zająć nawet piętnaście minut dłużej.
W naszym przykładzie, segmentem upoważnionym, ma być domena
ADMIN. Aby rozpocząć ustanawianie relacji, jej administrator powinien
wykonać następujące czynności:
1. Zarejestrować się w
domenie ADMIN z
uprawnieniami
administratora i uruchomić program User Manager for Domains.
2. Wybrać opcję Trust Relationships (relacje upoważnienia) z menu
Policies
(strategie), celem otwarcia okna dialogowego Trust
Relationships
(por. rysunek 12.1).
Konfiguracja relacji upoważnienia
291
Rysunek 12.1
Konfigurowanie relacji
upoważnienia przy pomocy
programu User Manager for
Domains.
3. Kliknąć na przycisku Add (dodaj), znajdującym się obok grupy
Trusting
Domains (domeny upoważniające), aby odsłonić okno Add
Trusting
Domain (dołącz domenę upoważniającą) przedstawione na
rysunku 12.2.
Rysunek 12.2
Okno dialogowego Add
Trusting Domain
4. Wprowadzić nazwę domeny, która ma upoważniać (w naszym
przypadku PROJEKT) do pola edycji Trusting Domain.
5. Wpisać dowolne hasło w polu Initial Password (hasło inicjujące). To
same hasło wpisać w polu Confirm Password (potwierdź hasło). Hasło
należy przekazać administratorowi domeny PROJEKT, które je
wykorzysta podczas swojej części procedury tworzenia relacji.
6. Wcisnąć przycisk OK, aby zamknąć okno i powrócić do programu
User Manager for Domains. Zakończyć pracę programu.
Druga część zadania należy do obowiązków administratora domeny
upoważniającej.
Konfiguracja domeny upoważniającej
Dokończenie ustanawiania relacji upoważnienia, niczym się prawie nie
różni od pierwszej części procedury:
1. Zarejestrować się w domenie PROJEKT jako administrator (w tej
chwili jedyne konto w domenie).
Część III
Konfiguracja przykładowego modelu z domeną główną
292
2. Uruchomić program User Manager for Domains i wybrać opcję Trust
Relationships
z menu Policies. Otworzy się okno dialogowe Trust
Relationships
.
3. Kliknąć na przycisku Add, znajdującym się obok grupy Trusted
Domains
(domeny upoważnione), aby odsłonić okno Add Trusted
Domain
(dołącz domenę upoważnione).
4. Wpisać nazwę domeny, która ma zostać upoważniona (w naszym
przypadku ADMIN) do pola edycji Domain. Okno dialogowe ilustruje
rysunek 12.3.
Rysunek 12.3
Należy wprowadzić nazwę
domeny upoważnionej oraz
hasło.
5. Wpisać hasło otrzymane od administratora domeny ADMIN,
a następnie wcisnąć przycisk OK. Możemy otrzymać komunikat, który
informuje, że w tym momencie nie można zweryfikować relacji
i sugeruje, aby przy pomocy przeglądarki zdarzeń kontrolować
dziennik systemu (System Log), celem monitorowania zakończenia
tworzenia relacji.
6. Kliknąć OK, by zamknąć okno. Opuścić program User Manager for
Domains.
Tworzenie relacji może zająć systemowi chwilę czasu, dlatego musimy
śledzić kiedy się zakończy. Istnieje kilka sposobów weryfikacji relacji
upoważnienia. Najprościej sprawdzić przeglądarką zdarzeń zapisy
w dzienniku systemowym (System Log). Druga metoda polega na
utworzeniu współdzielonego katalogu w domenie PROJEKT i podjęcie
próby przyznania do niego dostępu dla ogólnej grupy zdefiniowanej
w domenie ADMIN. Trzeci sposób wymaga wykorzystania kontrolera
domen z pakietu narzędziowego Windows NT Resource Kit. Program
jest zdolny do monitorowania stanu synchronizacji domen oraz statusu
chronionych kanałów łączności między domenami. Jeśli połączenie
między ADMIN i PROJEKT zostanie ustanowione, to możemy być
pewni, że tworzenie relacji upoważnienia zostało zakończone pomyślnie.
Konfiguracja relacji upoważnienia
293
Potwierdzanie aktywności relacji upoważnienia
Jak już było powiedziane, istnieje wiele sposobów na weryfikację relacji
upoważnienia. Administrator może zajrzeć do dziennika systemu lub po
prostu podjąć próbę przyznania uprawnień dla grupy z domeny ADMIN
do zasobów domeny PROJEKT.
Jeszcze inna metoda sprawdzenia, czy relacja jest już aktywna, polega na
wykorzystaniu okna rejestracyjnego (Logon screen) na dowolnym
serwerze lub stacji roboczej domeny PROJEKT. Po ustanowieniu relacji,
użytkownik powinien mieć możliwość wyboru między rejestracją
w
domenie lokalnej, a
rejestracją za pośrednictwem upoważnionej
domeny ADMIN. Zwróćmy uwagę, że te same czynności podjęte na stacji
domeny ADMIN nie dają pożądanej informacji. Z domeny upoważnionej
nie można rejestrować się w
domenie upoważniającej, chyba że
ustanowiono relację dwukierunkową.
Prostym wskaźnikiem, że proces tworzenia relacji dobiegł końca jest
możliwość przyznania grupom ogólnym domeny upoważnionej
pozwoleń dostępu do zasobów domeny upoważniającej. Pozwolenia
realizujemy dołączając konta grup ogólnych domeny ADMIN do grup
lokalnych domeny PROJEKT. Co prawda w domenie PROJEKT mamy na
tym etapie tylko jedną grupę lokalną (administratorzy), ale do naszych
celów to zupełnie wystarcza.
Aby umożliwić wybranej grupie pracowników wydziału badawczo-
projektowego wykonywanie zadań administracyjnych w
domenie
PROJEKT, należy stworzyć dla nich specjalną grupę ogólną w domenie
ADMIN i przyłączyć ją do lokalnej grupy administratorów domeny
PROJEKT.
Udzielanie pozwoleń dostępu do zasobów domeny
upoważniającej
Scenariusz jest prosty: Utworzyć grupę ogólną w domenie ADMIN,
dołączyć wybrane konta użytkowników do nowej grupy, przyłączyć
grupę ogólną do lokalnej grupy domeny PROJEKT. Poniższa procedura
realizuje pierwsze dwie pozycje scenariusza:
1. Zarejestrować się w
domenie ADMIN z
uprawnieniami
administratora i uruchomić program User Manager for Domains .
2. Wybrać pozycję New Global Group z menu File, aby otworzyć okno
dialogowe Group.
Część III
Konfiguracja przykładowego modelu z domeną główną
294
3. W polu edycji Name wpisać nazwę nowej grupy - Administratorzy
Projektu i wcisnąć przycisk Add member.
4. Wybrać użytkowników z listy Not Members i przenieść ich do okienka
Members
klikając na przycisku Add.
5. Kliknąć na przycisku OK, aby zamknąć okno. Nazwa nowej grupy
(oznaczonej ikoną grupy ogólnej) powinna być widoczna w dolnym
okienku Groups, głównego ekranu programu User Manager for
Domains .
Rysunek 12.4
Dodawanie użytkowników
do grupy ogólnej.
Końcową część scenariusza można zrealizować według poniższej
procedury:
1. Zarejestrować się w domenie PROJEKT na koncie administratora
i uruchomić program User Manager for Domains .
2. Kliknąć dwukrotnie na pozycji lokalnej grupy administratorów
(pozycja Local Administrator w okienku Groups), celem otworzenia
okna Group Properties.
3. Kliknąć na przycisku Add, aby otworzyć okno Add Users and Groups.
4. Wybrać domenę ADMIN z listy List Names From:. W okienku Names -
nazwy kont domeny ADMIN powinny zastąpić nazwy kont lokalnych
(por. rysunek 12.5).
Konfiguracja relacji upoważnienia
295
Rysunek 12.5
Dołączanie grupy ogólnej
z domeny ADMIN do lokal-
nej grupy administratorów.
5. Wybrać ogólną grupę „Administratorzy Projektu” i
kliknąć na
przycisku Add. Wcisnąć przycisk OK, aby powrócić do głównego okna
programu. Zakończyć pracę aplikacji.
Od tej chwili członkowie grupy Administratorzy Projektu mogą się
rejestrować na dowolnym serwerze lub stacji roboczej domeny PROJEKT,
tworzyć zasoby współdzielone oraz przyznawać (lub odbierać) do nich
uprawnienia dostępu wszystkim użytkownikom oraz grupom ogólnym
domeny ADMIN.
Przeanalizujmy przykład: Jeden z nowych administratorów domeny
PROJEKT ma za zadanie utworzyć kolejkę drukarki. Prawo korzystania
z drukarki mają mieć wszyscy pracownicy wydziału badawczo-
projektowego. Spoza personelu wydziału, z drukarki mogą korzystać
jedynie członkowie ścisłego kierownictwa fabryki. Zakładamy, że
w domenie ADMIN założone są grupy ogólne: „Personel Projektu”
z kontami pracowników wydziału badań oraz „Dyrektorzy”, do której
należą konta ścisłego kierownictwa fabryki.
Oto jak należy wykonać zadanie:
1. Zarejestrować się na koncie, które jest elementem grupy
Administratorzy Projektu.
2. Wcisnąć przycisk Start i wybrać pozycję Printers z menu Settings
(ustawienia), co spowoduje otwarcie okna Printers. Odpowiedni
kreator pokieruje instalacją nowej drukarki. Po zakończeniu instalacji,
w oknie Printer pojawi się ikona symbolizująca nową drukarkę.
3. Kliknąć prawym klawiszem myszy na ikonie nowej drukarki i wybrać
z menu pozycję Properties.
Część III
Konfiguracja przykładowego modelu z domeną główną
296
4. Wybrać etykietę Sharing, a następnie wcisnąć przycisk Permission.
5. Wcisnąć przycisk Add, aby otworzyć okno Permission.
6. Wybrać pozycję ADMIN z listy rozwijalnej z nazwami domen. Wy-
brać grupy Personel Projektu i Dyrektorzy, po czym wcisnąć przycisk
Add
.
7. Zamknąć stronę Properties oraz opuścić panel sterowania.
W ten sam sposób można udzielać uprawnień dostępu do dowolnych
drukarek, katalogów i usług. Cały czas w domenie PROJEKT funkcjonuje
jedynie predefiniowane konto administratora. Struktura z domeną głów-
ną umożliwia łatwe dodawanie użytkowników i wygodną metodę ste-
rowania ich uprawnieniami. Równie łatwo jest całkowicie usunąć konto
z systemu.
W innych rozdziałach...
Rozdział 13 - Przegląd problematyki ochrony sieci połączonej z Internetem -
rozpoczyna dyskusję o problemach, wymagających rozstrzygnięcia
przed decyzją o połączeniu sieci z Internetem. Największą sztuką jest
połączenie dwóch sprzeczności: łatwego dostępu do systemu
i pełnego zabezpieczenia przed atakami z zewnątrz.
Rozdział 14 - BackOffice a ochrona sieci podłączonej do Internetu - rozsze-
rza wiadomości o zabezpieczeniach innych produktów firmy Microso-
ft, które można integrować z systemem ochrony Windows NT.