background image

  Rozdział

12

 

Konfiguracja relacji 
upoważnienia 

h

Konfigurowanie domeny 
upoważnionej 

 

W przyjętym modelu główną domenę 
ADMIN  łączy jednostronna relacja 
upoważnienia z 

domeną PROJEKT. 

Segmentem upoważnionym jest 
domena ADMIN. Ustanawianie relacji 
jest prostą czynnością, którą inicjuje 
administrator domeny upoważnionej.

 

W

 rozdziale 10 zaplanowaliśmy,  że 

struktura sieci przedsiębiorstwa ORBITA 

będzie skonstruowana na bazie modelu 

z domeną 

główną. Takie rozwiązanie 

umożliwia tworzenie domen dla wybranych 

wydziałów i 

powierzenie ich personelowi 

odpowiedzialności za zasoby i administrację 

domeną. W 

konstruowanym przykładzie 

zaplanowano wydzielić specjalną domenę 

PROJEKT, dla wydziału badawczo-

projektowego. Ponieważ relacje 

upoważnienia nie są przechodnie, tworzą 

efektywną przegrodę, która z jednej strony 

pozwala przyznać  użytkownikom domeny 

pełną  władzę nad swoim segmentem sieci, 

a z drugiej dowolnie ograniczyć ich wpływ na 

zarządzanie domeną główną lub ewentualnie 

domenami innych wydziałów. 

h

Konfigurowanie domeny 
upoważniającej 

 

Druga część procesu tworzenia relacji 
należy do administratora domeny 
zasobów (upoważniającej). Po 
otrzymaniu hasła od kolegi 
realizującego pierwszą część zadania, 
pozostaje mu wykonać kilka prostych 
czynności. 

h

Weryfikacja relacji 

 

Istnieje kilka metod pozwalających 
sprawdzić, czy relacją została 
nawiązana prawidłowo. Niektóre 
posługują się narzędziami pakietu 
Windows NT 4.0 Server Resource Kit. 

h

Wykorzystanie relacji upoważnienia 

 

Kolejny etap instalacji można opisać 
trzema zdaniami: tworzenie grup 
ogólnych w 

domenie ADMIN; 

dołączanie użytkowników do grup 
ogólnych; przydzielanie grupom 
ogólnym pozwoleń dostępu do 
zasobów domeny PROJEKT.

 

background image

 

Część III

 

Konfiguracja przykładowego modelu z domeną główną 

290 

Konfiguracja domeny upoważnionej 

Na początek należy utworzyć konta grup w domenie ADMIN. Następnie 
ustanowić relację upoważnienia między domenami ADMIN i PROJEKT. 
Relacja umożliwia powierzenie odpowiedzialności za zarządzanie 
zasobami domeny PROJEKT personelowi wydziału badawczo-
projektowego. Wyznaczeni administratorzy domeny PROJEKT będą 
mogli wydzielać w swojej domenie zasoby, przeznaczone do wspólnego 
użytku i przyznawać do nich odpowiednie pozwolenia dostępu dla grup 
i użytkowników indywidualnych, pochodzących zarówno z domeny 
ADMIN jak i z domeny PROJEKT. 

Aby uprościć sobie pracę, administrator domeny ADMIN powinien 
utworzyć grupę ogólną i dołączyć do niej konta osobiste personelu 
wydziału badawczo-projektowego. Upoważniony administrator nie 
będzie musiał udzielać indywidualnych pozwoleń dla użytkowników, 
a jedynie  dla  całej grupy. Oczywiście przyznawanie pozwoleń 
indywidualnych nie jest wykluczone, lecz zwiększa obciążenie osoby 
zarządzającej kontami.  

Rozpoczynamy proces ustanawiania relacji upoważnienia. Procedura jest 
prosta i zajmuje łącznie kilka minut. Choć można inaczej, najlepiej zacząć 
pracę w 

domenie, która ma zostać upoważniona. Taka kolejność 

gwarantuje większą sprawność procesu. Relacja może być 
zweryfikowana natychmiast po zakończeniu pracy administratora 
w domenie 

upoważniającej. Sprawdzenie relacji ustanawianej 

w odwrotnej kolejności może zająć nawet piętnaście minut dłużej. 

W naszym przykładzie, segmentem upoważnionym, ma być domena 
ADMIN. Aby rozpocząć ustanawianie relacji, jej administrator powinien 
wykonać następujące czynności: 

1. Zarejestrować się w 

domenie ADMIN z 

uprawnieniami 

administratora i uruchomić program User Manager for Domains. 

2. Wybrać opcję  Trust Relationships (relacje upoważnienia) z menu 

Policies

 (strategie), celem otwarcia okna dialogowego Trust 

Relationships

 (por. rysunek 12.1). 

background image

Konfiguracja relacji upoważnienia  

291 

 

Rysunek 12.1 

Konfigurowanie relacji 
upoważnienia przy pomocy 
programu User Manager for 
Domains. 

 

3. Kliknąć na przycisku Add (dodaj), znajdującym się obok grupy 

Trusting

  Domains (domeny upoważniające), aby odsłonić okno Add 

Trusting

  Domain (dołącz domenę upoważniającą) przedstawione na 

rysunku 12.2. 

Rysunek 12.2 

Okno dialogowego Add 
Trusting Domain  

 

4. Wprowadzić nazwę domeny, która ma upoważniać (w naszym 

przypadku PROJEKT) do pola edycji Trusting Domain. 

5. Wpisać dowolne hasło w polu Initial Password (hasło inicjujące). To 

same hasło wpisać w polu Confirm Password (potwierdź hasło). Hasło 
należy przekazać administratorowi domeny PROJEKT, które je 
wykorzysta podczas swojej części procedury tworzenia relacji. 

6. Wcisnąć przycisk OK, aby zamknąć okno i powrócić do programu 

User Manager for Domains. Zakończyć pracę programu. 

Druga część zadania należy do obowiązków administratora domeny 
upoważniającej. 

Konfiguracja domeny upoważniającej 

Dokończenie ustanawiania relacji upoważnienia, niczym się prawie nie 
różni od pierwszej części procedury: 

1. Zarejestrować się w domenie PROJEKT jako administrator (w tej 

chwili jedyne konto w domenie). 

background image

 

Część III

 

Konfiguracja przykładowego modelu z domeną główną 

292 

2. Uruchomić program User Manager for Domains i wybrać opcję Trust 

Relationships

 z menu Policies. Otworzy się okno dialogowe Trust 

Relationships

3. Kliknąć na przycisku Add, znajdującym się obok grupy Trusted 

Domains

  (domeny upoważnione), aby odsłonić  okno Add Trusted 

Domain

 (dołącz domenę upoważnione). 

4. Wpisać nazwę domeny, która ma zostać upoważniona (w naszym 

przypadku ADMIN) do pola edycji Domain. Okno dialogowe ilustruje 
rysunek 12.3. 

Rysunek 12.3 

Należy wprowadzić nazwę 
domeny upoważnionej oraz 
hasło. 

 

5. Wpisać hasło otrzymane od administratora domeny ADMIN, 

a następnie wcisnąć przycisk OK. Możemy otrzymać komunikat, który 
informuje,  że w tym momencie nie można zweryfikować relacji 
i sugeruje, aby przy pomocy przeglądarki zdarzeń kontrolować 
dziennik systemu (System Log), celem monitorowania zakończenia 
tworzenia relacji. 

6. Kliknąć  OK, by zamknąć okno. Opuścić program User Manager for 

Domains. 

Tworzenie relacji może zająć systemowi chwilę czasu, dlatego musimy 
śledzić kiedy się zakończy. Istnieje kilka sposobów weryfikacji relacji 
upoważnienia. Najprościej sprawdzić przeglądarką zdarzeń zapisy 
w dzienniku systemowym (System Log). Druga metoda polega na 
utworzeniu współdzielonego katalogu w domenie PROJEKT i podjęcie 
próby przyznania do niego dostępu dla ogólnej grupy zdefiniowanej 
w domenie ADMIN. Trzeci sposób wymaga wykorzystania kontrolera 
domen z pakietu narzędziowego Windows NT Resource Kit. Program 
jest zdolny do monitorowania stanu synchronizacji domen oraz statusu 
chronionych kanałów  łączności między domenami. Jeśli połączenie 
między ADMIN i PROJEKT zostanie ustanowione, to możemy być 
pewni, że tworzenie relacji upoważnienia zostało zakończone pomyślnie. 

background image

Konfiguracja relacji upoważnienia  

293 

 

Potwierdzanie aktywności relacji upoważnienia 

Jak już było powiedziane, istnieje wiele sposobów na weryfikację relacji 
upoważnienia. Administrator może zajrzeć do dziennika systemu lub po 
prostu podjąć próbę przyznania uprawnień dla grupy z domeny ADMIN 
do zasobów domeny PROJEKT. 

Jeszcze inna metoda sprawdzenia, czy relacja jest już aktywna, polega na 
wykorzystaniu okna rejestracyjnego (Logon screen) na dowolnym 
serwerze lub stacji roboczej domeny PROJEKT. Po ustanowieniu relacji, 
użytkownik powinien mieć możliwość wyboru między rejestracją 

domenie lokalnej, a 

rejestracją za pośrednictwem upoważnionej 

domeny ADMIN. Zwróćmy uwagę, że te same czynności podjęte na stacji 
domeny ADMIN nie dają pożądanej informacji. Z domeny upoważnionej 
nie można rejestrować się w 

domenie upoważniającej, chyba że 

ustanowiono relację dwukierunkową. 

Prostym wskaźnikiem,  że proces tworzenia relacji dobiegł końca jest 
możliwość przyznania grupom ogólnym domeny upoważnionej 
pozwoleń dostępu do zasobów domeny upoważniającej. Pozwolenia 
realizujemy dołączając konta grup ogólnych domeny ADMIN do grup 
lokalnych domeny PROJEKT. Co prawda w domenie PROJEKT mamy na 
tym etapie tylko jedną grupę lokalną (administratorzy), ale do naszych 
celów to zupełnie wystarcza. 

Aby umożliwić wybranej grupie pracowników wydziału badawczo-
projektowego wykonywanie zadań administracyjnych w 

domenie 

PROJEKT, należy stworzyć dla nich specjalną grupę ogólną w domenie 
ADMIN i przyłączyć  ją do lokalnej grupy administratorów domeny 
PROJEKT. 

Udzielanie pozwoleń dostępu do zasobów domeny 
upoważniającej 

Scenariusz jest prosty: Utworzyć grupę ogólną w domenie ADMIN, 
dołączyć wybrane konta użytkowników do nowej grupy, przyłączyć 
grupę ogólną do lokalnej grupy domeny PROJEKT. Poniższa procedura 
realizuje pierwsze dwie pozycje scenariusza: 

1. Zarejestrować się w 

domenie ADMIN z 

uprawnieniami 

administratora i uruchomić program User Manager for Domains . 

2. Wybrać pozycję  New Global Group z menu File, aby otworzyć okno 

dialogowe Group. 

background image

 

Część III

 

Konfiguracja przykładowego modelu z domeną główną 

294 

3.  W polu edycji Name wpisać nazwę nowej grupy - Administratorzy 

Projektu i wcisnąć przycisk Add member. 

4. Wybrać użytkowników z listy Not Members i przenieść ich do okienka 

Members

 klikając na przycisku Add. 

5. Kliknąć na przycisku OK, aby zamknąć okno. Nazwa nowej grupy 

(oznaczonej ikoną grupy ogólnej) powinna być widoczna w dolnym 
okienku  Groups,  głównego ekranu programu User Manager for 
Domains . 

Rysunek 12.4 

Dodawanie użytkowników 
do grupy ogólnej. 

 

Końcową część scenariusza można zrealizować według poniższej 
procedury: 

1. Zarejestrować się w domenie PROJEKT na koncie administratora 

i uruchomić program User Manager for Domains . 

2. Kliknąć dwukrotnie na pozycji lokalnej grupy administratorów 

(pozycja  Local Administrator w okienku Groups), celem otworzenia 
okna Group Properties. 

3. Kliknąć na przycisku Add, aby otworzyć okno Add Users and Groups. 

4. Wybrać domenę ADMIN z listy List Names From:. W okienku Names - 

nazwy kont domeny ADMIN powinny zastąpić nazwy kont lokalnych 
(por. rysunek 12.5). 

background image

Konfiguracja relacji upoważnienia  

295 

 

Rysunek 12.5 

Dołączanie grupy ogólnej 
z domeny ADMIN do lokal-
nej grupy administratorów. 

 

5. Wybrać ogólną grupę „Administratorzy Projektu” i 

kliknąć na 

przycisku Add. Wcisnąć przycisk OK, aby powrócić do głównego okna 
programu. Zakończyć pracę aplikacji. 

Od tej chwili członkowie grupy Administratorzy Projektu mogą się 
rejestrować na dowolnym serwerze lub stacji roboczej domeny PROJEKT, 
tworzyć zasoby współdzielone oraz przyznawać (lub odbierać) do nich 
uprawnienia dostępu wszystkim użytkownikom oraz grupom ogólnym 
domeny ADMIN.  

Przeanalizujmy przykład: Jeden z nowych administratorów domeny 
PROJEKT ma za zadanie utworzyć kolejkę drukarki. Prawo korzystania 
z drukarki  mają mieć wszyscy pracownicy wydziału badawczo-
projektowego. Spoza personelu wydziału, z drukarki mogą korzystać 
jedynie członkowie  ścisłego kierownictwa fabryki. Zakładamy,  że 
w domenie  ADMIN  założone są grupy ogólne: „Personel Projektu” 
z kontami pracowników wydziału badań oraz „Dyrektorzy”, do której 
należą konta ścisłego kierownictwa fabryki. 

Oto jak należy wykonać zadanie: 

1. Zarejestrować się na koncie, które jest elementem grupy 

Administratorzy Projektu. 

2. Wcisnąć przycisk Start i wybrać pozycję  Printers z menu Settings 

(ustawienia), co spowoduje otwarcie okna Printers. Odpowiedni 
kreator pokieruje instalacją nowej drukarki. Po zakończeniu instalacji, 
w oknie Printer pojawi się ikona symbolizująca nową drukarkę. 

3. Kliknąć prawym klawiszem myszy na ikonie nowej drukarki i wybrać 

z menu pozycję Properties. 

background image

 

Część III

 

Konfiguracja przykładowego modelu z domeną główną 

296 

4. Wybrać etykietę Sharing, a następnie wcisnąć przycisk Permission. 

5. Wcisnąć przycisk Add, aby otworzyć okno Permission. 

6. Wybrać pozycję ADMIN z listy rozwijalnej z nazwami domen. Wy-

brać grupy Personel Projektu i Dyrektorzy, po czym wcisnąć przycisk 
Add

7. Zamknąć stronę Properties oraz opuścić panel sterowania. 

W ten sam sposób można udzielać uprawnień dostępu do dowolnych 
drukarek, katalogów i usług. Cały czas w domenie PROJEKT funkcjonuje 
jedynie predefiniowane konto administratora. Struktura z domeną głów-
ną umożliwia  łatwe dodawanie użytkowników i wygodną metodę ste-
rowania ich uprawnieniami. Równie łatwo jest całkowicie usunąć konto 
z systemu. 

W innych rozdziałach... 

„

Rozdział 13 - Przegląd problematyki ochrony sieci połączonej z Internetem - 
rozpoczyna dyskusję o problemach, wymagających rozstrzygnięcia 
przed decyzją o połączeniu sieci z Internetem. Największą sztuką jest 
połączenie dwóch sprzeczności:  łatwego dostępu do systemu 
i pełnego zabezpieczenia przed atakami z zewnątrz. 

„

Rozdział 14 - BackOffice a ochrona sieci podłączonej do Internetu - rozsze-
rza wiadomości o zabezpieczeniach innych produktów firmy Microso-
ft, które można integrować z systemem ochrony Windows NT.