Rozdział

12

Konfiguracja relacji
upoważnienia

h

Konfigurowanie domeny
upoważnionej

W przyjętym modelu główną domenę
ADMIN łączy jednostronna relacja
upoważnienia z

domeną PROJEKT.

Segmentem upoważnionym jest
domena ADMIN. Ustanawianie relacji
jest prostą czynnością, którą inicjuje
administrator domeny upoważnionej.

W

rozdziale 10 zaplanowaliśmy, że

struktura sieci przedsiębiorstwa ORBITA

będzie skonstruowana na bazie modelu

z domeną

główną. Takie rozwiązanie

umożliwia tworzenie domen dla wybranych

wydziałów i

powierzenie ich personelowi

odpowiedzialności za zasoby i administrację

domeną. W

konstruowanym przykładzie

zaplanowano wydzielić specjalną domenę

PROJEKT, dla wydziału badawczo-

projektowego. Ponieważ relacje

upoważnienia nie są przechodnie, tworzą

efektywną przegrodę, która z jednej strony

pozwala przyznać użytkownikom domeny

pełną władzę nad swoim segmentem sieci,

a z drugiej dowolnie ograniczyć ich wpływ na

zarządzanie domeną główną lub ewentualnie

domenami innych wydziałów.

h

Konfigurowanie domeny
upoważniającej

Druga część procesu tworzenia relacji
należy do administratora domeny
zasobów (upoważniającej). Po
otrzymaniu hasła od kolegi
realizującego pierwszą część zadania,
pozostaje mu wykonać kilka prostych
czynności.

h

Weryfikacja relacji

Istnieje kilka metod pozwalających
sprawdzić, czy relacją została
nawiązana prawidłowo. Niektóre
posługują się narzędziami pakietu
Windows NT 4.0 Server Resource Kit.

h

Wykorzystanie relacji upoważnienia

Kolejny etap instalacji można opisać
trzema zdaniami: tworzenie grup
ogólnych w

domenie ADMIN;

dołączanie użytkowników do grup
ogólnych; przydzielanie grupom
ogólnym pozwoleń dostępu do
zasobów domeny PROJEKT.

Część III

Konfiguracja przykładowego modelu z domeną główną

290

Konfiguracja domeny upoważnionej

Na początek należy utworzyć konta grup w domenie ADMIN. Następnie
ustanowić relację upoważnienia między domenami ADMIN i PROJEKT.
Relacja umożliwia powierzenie odpowiedzialności za zarządzanie
zasobami domeny PROJEKT personelowi wydziału badawczo-
projektowego. Wyznaczeni administratorzy domeny PROJEKT będą
mogli wydzielać w swojej domenie zasoby, przeznaczone do wspólnego
użytku i przyznawać do nich odpowiednie pozwolenia dostępu dla grup
i użytkowników indywidualnych, pochodzących zarówno z domeny
ADMIN jak i z domeny PROJEKT.

Aby uprościć sobie pracę, administrator domeny ADMIN powinien
utworzyć grupę ogólną i dołączyć do niej konta osobiste personelu
wydziału badawczo-projektowego. Upoważniony administrator nie
będzie musiał udzielać indywidualnych pozwoleń dla użytkowników,
a jedynie dla całej grupy. Oczywiście przyznawanie pozwoleń
indywidualnych nie jest wykluczone, lecz zwiększa obciążenie osoby
zarządzającej kontami.

Rozpoczynamy proces ustanawiania relacji upoważnienia. Procedura jest
prosta i zajmuje łącznie kilka minut. Choć można inaczej, najlepiej zacząć
pracę w

domenie, która ma zostać upoważniona. Taka kolejność

gwarantuje większą sprawność procesu. Relacja może być
zweryfikowana natychmiast po zakończeniu pracy administratora
w domenie

upoważniającej. Sprawdzenie relacji ustanawianej

w odwrotnej kolejności może zająć nawet piętnaście minut dłużej.

W naszym przykładzie, segmentem upoważnionym, ma być domena
ADMIN. Aby rozpocząć ustanawianie relacji, jej administrator powinien
wykonać następujące czynności:

1. Zarejestrować się w

domenie ADMIN z

uprawnieniami

administratora i uruchomić program User Manager for Domains.

2. Wybrać opcję Trust Relationships (relacje upoważnienia) z menu

Policies

(strategie), celem otwarcia okna dialogowego Trust

Relationships

(por. rysunek 12.1).

Konfiguracja relacji upoważnienia

291

Rysunek 12.1

Konfigurowanie relacji
upoważnienia przy pomocy
programu User Manager for
Domains.

3. Kliknąć na przycisku Add (dodaj), znajdującym się obok grupy

Trusting

Domains (domeny upoważniające), aby odsłonić okno Add

Trusting

Domain (dołącz domenę upoważniającą) przedstawione na

rysunku 12.2.

Rysunek 12.2

Okno dialogowego Add
Trusting Domain

4. Wprowadzić nazwę domeny, która ma upoważniać (w naszym

przypadku PROJEKT) do pola edycji Trusting Domain.

5. Wpisać dowolne hasło w polu Initial Password (hasło inicjujące). To

same hasło wpisać w polu Confirm Password (potwierdź hasło). Hasło
należy przekazać administratorowi domeny PROJEKT, które je
wykorzysta podczas swojej części procedury tworzenia relacji.

6. Wcisnąć przycisk OK, aby zamknąć okno i powrócić do programu

User Manager for Domains. Zakończyć pracę programu.

Druga część zadania należy do obowiązków administratora domeny
upoważniającej.

Konfiguracja domeny upoważniającej

Dokończenie ustanawiania relacji upoważnienia, niczym się prawie nie
różni od pierwszej części procedury:

1. Zarejestrować się w domenie PROJEKT jako administrator (w tej

chwili jedyne konto w domenie).

Część III

Konfiguracja przykładowego modelu z domeną główną

292

2. Uruchomić program User Manager for Domains i wybrać opcję Trust

Relationships

z menu Policies. Otworzy się okno dialogowe Trust

Relationships

.

3. Kliknąć na przycisku Add, znajdującym się obok grupy Trusted

Domains

(domeny upoważnione), aby odsłonić okno Add Trusted

Domain

(dołącz domenę upoważnione).

4. Wpisać nazwę domeny, która ma zostać upoważniona (w naszym

przypadku ADMIN) do pola edycji Domain. Okno dialogowe ilustruje
rysunek 12.3.

Rysunek 12.3

Należy wprowadzić nazwę
domeny upoważnionej oraz
hasło.

5. Wpisać hasło otrzymane od administratora domeny ADMIN,

a następnie wcisnąć przycisk OK. Możemy otrzymać komunikat, który
informuje, że w tym momencie nie można zweryfikować relacji
i sugeruje, aby przy pomocy przeglądarki zdarzeń kontrolować
dziennik systemu (System Log), celem monitorowania zakończenia
tworzenia relacji.

6. Kliknąć OK, by zamknąć okno. Opuścić program User Manager for

Domains.

Tworzenie relacji może zająć systemowi chwilę czasu, dlatego musimy
śledzić kiedy się zakończy. Istnieje kilka sposobów weryfikacji relacji
upoważnienia. Najprościej sprawdzić przeglądarką zdarzeń zapisy
w dzienniku systemowym (System Log). Druga metoda polega na
utworzeniu współdzielonego katalogu w domenie PROJEKT i podjęcie
próby przyznania do niego dostępu dla ogólnej grupy zdefiniowanej
w domenie ADMIN. Trzeci sposób wymaga wykorzystania kontrolera
domen z pakietu narzędziowego Windows NT Resource Kit. Program
jest zdolny do monitorowania stanu synchronizacji domen oraz statusu
chronionych kanałów łączności między domenami. Jeśli połączenie
między ADMIN i PROJEKT zostanie ustanowione, to możemy być
pewni, że tworzenie relacji upoważnienia zostało zakończone pomyślnie.

Konfiguracja relacji upoważnienia

293

Potwierdzanie aktywności relacji upoważnienia

Jak już było powiedziane, istnieje wiele sposobów na weryfikację relacji
upoważnienia. Administrator może zajrzeć do dziennika systemu lub po
prostu podjąć próbę przyznania uprawnień dla grupy z domeny ADMIN
do zasobów domeny PROJEKT.

Jeszcze inna metoda sprawdzenia, czy relacja jest już aktywna, polega na
wykorzystaniu okna rejestracyjnego (Logon screen) na dowolnym
serwerze lub stacji roboczej domeny PROJEKT. Po ustanowieniu relacji,
użytkownik powinien mieć możliwość wyboru między rejestracją
w

domenie lokalnej, a

rejestracją za pośrednictwem upoważnionej

domeny ADMIN. Zwróćmy uwagę, że te same czynności podjęte na stacji
domeny ADMIN nie dają pożądanej informacji. Z domeny upoważnionej
nie można rejestrować się w

domenie upoważniającej, chyba że

ustanowiono relację dwukierunkową.

Prostym wskaźnikiem, że proces tworzenia relacji dobiegł końca jest
możliwość przyznania grupom ogólnym domeny upoważnionej
pozwoleń dostępu do zasobów domeny upoważniającej. Pozwolenia
realizujemy dołączając konta grup ogólnych domeny ADMIN do grup
lokalnych domeny PROJEKT. Co prawda w domenie PROJEKT mamy na
tym etapie tylko jedną grupę lokalną (administratorzy), ale do naszych
celów to zupełnie wystarcza.

Aby umożliwić wybranej grupie pracowników wydziału badawczo-
projektowego wykonywanie zadań administracyjnych w

domenie

PROJEKT, należy stworzyć dla nich specjalną grupę ogólną w domenie
ADMIN i przyłączyć ją do lokalnej grupy administratorów domeny
PROJEKT.

Udzielanie pozwoleń dostępu do zasobów domeny
upoważniającej

Scenariusz jest prosty: Utworzyć grupę ogólną w domenie ADMIN,
dołączyć wybrane konta użytkowników do nowej grupy, przyłączyć
grupę ogólną do lokalnej grupy domeny PROJEKT. Poniższa procedura
realizuje pierwsze dwie pozycje scenariusza:

1. Zarejestrować się w

domenie ADMIN z

uprawnieniami

administratora i uruchomić program User Manager for Domains .

2. Wybrać pozycję New Global Group z menu File, aby otworzyć okno

dialogowe Group.

Część III

Konfiguracja przykładowego modelu z domeną główną

294

3. W polu edycji Name wpisać nazwę nowej grupy - Administratorzy

Projektu i wcisnąć przycisk Add member.

4. Wybrać użytkowników z listy Not Members i przenieść ich do okienka

Members

klikając na przycisku Add.

5. Kliknąć na przycisku OK, aby zamknąć okno. Nazwa nowej grupy

(oznaczonej ikoną grupy ogólnej) powinna być widoczna w dolnym
okienku Groups, głównego ekranu programu User Manager for
Domains .

Rysunek 12.4

Dodawanie użytkowników
do grupy ogólnej.

Końcową część scenariusza można zrealizować według poniższej
procedury:

1. Zarejestrować się w domenie PROJEKT na koncie administratora

i uruchomić program User Manager for Domains .

2. Kliknąć dwukrotnie na pozycji lokalnej grupy administratorów

(pozycja Local Administrator w okienku Groups), celem otworzenia
okna Group Properties.

3. Kliknąć na przycisku Add, aby otworzyć okno Add Users and Groups.

4. Wybrać domenę ADMIN z listy List Names From:. W okienku Names -

nazwy kont domeny ADMIN powinny zastąpić nazwy kont lokalnych
(por. rysunek 12.5).

Konfiguracja relacji upoważnienia

295

Rysunek 12.5

Dołączanie grupy ogólnej
z domeny ADMIN do lokal-
nej grupy administratorów.

5. Wybrać ogólną grupę „Administratorzy Projektu” i

kliknąć na

przycisku Add. Wcisnąć przycisk OK, aby powrócić do głównego okna
programu. Zakończyć pracę aplikacji.

Od tej chwili członkowie grupy Administratorzy Projektu mogą się
rejestrować na dowolnym serwerze lub stacji roboczej domeny PROJEKT,
tworzyć zasoby współdzielone oraz przyznawać (lub odbierać) do nich
uprawnienia dostępu wszystkim użytkownikom oraz grupom ogólnym
domeny ADMIN.

Przeanalizujmy przykład: Jeden z nowych administratorów domeny
PROJEKT ma za zadanie utworzyć kolejkę drukarki. Prawo korzystania
z drukarki mają mieć wszyscy pracownicy wydziału badawczo-
projektowego. Spoza personelu wydziału, z drukarki mogą korzystać
jedynie członkowie ścisłego kierownictwa fabryki. Zakładamy, że
w domenie ADMIN założone są grupy ogólne: „Personel Projektu”
z kontami pracowników wydziału badań oraz „Dyrektorzy”, do której
należą konta ścisłego kierownictwa fabryki.

Oto jak należy wykonać zadanie:

1. Zarejestrować się na koncie, które jest elementem grupy

Administratorzy Projektu.

2. Wcisnąć przycisk Start i wybrać pozycję Printers z menu Settings

(ustawienia), co spowoduje otwarcie okna Printers. Odpowiedni
kreator pokieruje instalacją nowej drukarki. Po zakończeniu instalacji,
w oknie Printer pojawi się ikona symbolizująca nową drukarkę.

3. Kliknąć prawym klawiszem myszy na ikonie nowej drukarki i wybrać

z menu pozycję Properties.

Część III

Konfiguracja przykładowego modelu z domeną główną

296

4. Wybrać etykietę Sharing, a następnie wcisnąć przycisk Permission.

5. Wcisnąć przycisk Add, aby otworzyć okno Permission.

6. Wybrać pozycję ADMIN z listy rozwijalnej z nazwami domen. Wy-

brać grupy Personel Projektu i Dyrektorzy, po czym wcisnąć przycisk
Add

.

7. Zamknąć stronę Properties oraz opuścić panel sterowania.

W ten sam sposób można udzielać uprawnień dostępu do dowolnych
drukarek, katalogów i usług. Cały czas w domenie PROJEKT funkcjonuje
jedynie predefiniowane konto administratora. Struktura z domeną głów-
ną umożliwia łatwe dodawanie użytkowników i wygodną metodę ste-
rowania ich uprawnieniami. Równie łatwo jest całkowicie usunąć konto
z systemu.

W innych rozdziałach...

„

Rozdział 13 - Przegląd problematyki ochrony sieci połączonej z Internetem -
rozpoczyna dyskusję o problemach, wymagających rozstrzygnięcia
przed decyzją o połączeniu sieci z Internetem. Największą sztuką jest
połączenie dwóch sprzeczności: łatwego dostępu do systemu
i pełnego zabezpieczenia przed atakami z zewnątrz.

„

Rozdział 14 - BackOffice a ochrona sieci podłączonej do Internetu - rozsze-
rza wiadomości o zabezpieczeniach innych produktów firmy Microso-
ft, które można integrować z systemem ochrony Windows NT.