Двусторонние доверительные отношения

Двусторонние доверительные отношения предоставляют большую гибкость регулирования доступа пользователя к ресурсам и значительно упрощают администрирование сети. При двусторонних доверительных отношениях пользователь, вошедший в один домен, будет считаться прошедшим проверку подлинности в другом домене. У пользователя в этом случае должен быть доступ к ресурсам другого домена в пределах, установленных администратором этого домена. Двусторонние доверительные отношения устанавливаются посредством двух односторонних доверительных отношений, по одному в каждом направлении, как показано на рис. 6. Двусторонняя стрелка указывает на то, что домен Finance доверяет домену Marketing, а домен Marketing доверяет домену Finance. Не забывайте, что действительные отношения состоят из двух отдельных односторонних доверительных отношений. Если возникнут обстоятельства, при которых потребуется изменить доверительные отношения, необходимо помнить, что в действительности в них вовлечены два отношения.

Рис. 12. Двусторонние доверительные отношения

Главным достоинством двусторонних доверительных отношений является то, что учетные записи пользователей необходимо создавать лишь один раз, предпочтительно в основном («домашнем») домене. Они будут доступны на всех доменах-доверителях, что значительно облегчает администрирование сети. При этом допускается децентрализованное администрирование системы; каждое подразделение может заниматься собственными делами, не заботясь о распростра­нении во все домены каждого изменения учетных записей пользователей.

На крупном предприятии, как правило, организуется несколько отдельных доменов. Принцип разделения сети на домены может быть самый различный. Например, функциональный (отдел кадров, бухгалтерия, плановый отдел, администрация...) или территориальный (Москва, Санкт-Петербург, Петрозаводск, Мурманск...).

Рис.13

Непередаваемость доверия

 
 

Разрабатывая сеть на Windows NT Server, важно знать, что все доверительные отношения необходимо устанавливать по отдельности. Иначе говоря, доверие не передается из одного домена в другой. На рис. 14 показана сеть из трех доменов. Домен Marketing доверяет домену Finance, и наоборот. Третий домен, Editorial, имеет двусторонние доверительные отношения с доменом Finance. Однако домены Editorial и Marketing не будут доверять друг другу, пока между ними не будут установлены доверительные отношения. Доверие домена Editorial домену Finance не распространяется дальше на домен Marketing. Точно так же двусторонние доверительные отношения между доменами Marketing и Finance не выходят за пределы домена Finance и не включают в себя домен Editorial.

Рис.14