Home Windows Serverמונחים ב Windows Server הסבר מורחב – Active Directory Forest, Tree,Domain,Trust

הסבר מורחב – Active Directory Forest, Tree,Domain,Trust

by Tal Ben Shushan 12/02/2015 0 comment
הסבר מורחב – Active Directory Forest, Tree,Domain,Trust

Active Directory Forest

*לכל אורך ההסברים אני ממליץ לפתוח את הסכמה (התמונה) למטה הגדולה על מנת להבין את ההסברים והדוגמאות שאני נותן*

Active Directory Forest מגדיר שעל מנת להגדיר Forest נצטרך לפחות Domain אחד והוא ייחשב כForest, בהסבר פשוט יותר Forest (יער) הוא למעשה כל הDomains והChild Domains כולל שם אחר אך הוא חלק מהForest וכל אחד בהיררכיה סומך על השרת שמעליו, ͏בסכמה זו ניתן לראות דומיין אחד ששמו Ncorp והוא נמצא בתוך יער אם נוסיף עוד Child Domain או דומיין חדש כTrust Root כולם יהיו באותו הForest ויראו אחד את השני.

 

 

 

1forest

 

כעת נרחיב, בסכמה זו

tree1

ניתן לראות את TalRDS.com הוא למעשה ה Tree Root הוא בראש העץ מתחתיו נמצאים Child Domain שהם Neo ו CDFS, מתחת ל Child אלו נמצאים עוד Child שהוקמו בתוך Neo ואחד בתוך CDFS.

ניתן לראות שקיים Trust בין כל השרתים ב Forest וכך הם בוטחים זה בזה, אבל יצירה של כל Child Domain היא תחת ה TalRDS שהוא ה Tree Root, אותו Trust,

חשוב להבין ה Trust לא נותן הרשאות לכל אחד אצל האחר אלא עובד לפי היררכיה וכמובן שה Trust משמעותו שהם יכולים לראות אחד את השני ואת האובייקטים של אחד של השני  אבל לא נותן להם גישה באופן אוטומטי אלא על פי ההיררכיה ל Tree Root יהיה את הגישה הגבוהה ביותר ויוכל לגשת לכל הדומיינים מתחתיו גם ל TreeTrust שהוספתי שהוא TreeRDS.com כך ל TalRDS יש גישה להכל אבל לדומיינים האחרים יש גישה רק למה שמתחתיהם אם אתם רוצים של Alpha יהיה גישה ל TalRDS לתיקייה מסוימת ב Talrds.com תצטרכו לתת הרשאות לAlpha כך גם עם TreeRDS רוצה לגשת ל TalRDS.com.

על ידי יצירת Tree Trust ניתן להקים Tree Root נוסף ושמו TreeRDS.Com ובינו לבין TalRDS יהיה Trust, נסו לעקוב אחר השמות עם מה שמצוייר בתמונה וכך יהיה לכם קל יותר להבין.

ואז נשאלת השאלה אז למה יש עוד Forest בתמונה? הסיבה היא פשוטה דמיינו שארגון מסוים קנה ארגון אחר והוא רוצה לצרף את הדומיין של אותו ארגון אליו הוא לא צריך לבנות הכל מההתחלה הוא פשוט יכול להקים Trust בינו לבין הארגון השני, Forest ל Forest אחר ולהגדרה כזו יש השלכות, האם לתת Trust דו כיווני ? או חד כיווני?

ברגע שאתם יוצרים TreeTrust או Child Domain נוצר אוטומטית Trust בין אם זה Non-Transitive Trust או Transitive Trust ולכן נסביר מה כל אחד מהם אומר:

Non-Transitive Trust

כאשר דומיין רוצה לגשת (לבטוח) בשרת שמתחתיו Child Domain הוא יגדיר Transitive Trust שאומר שהוא בטוח בדומיין והדומיין בטוח בו וכך גם בשרת השני והשני בטוח בו ולכן השרת השני בוטח גם בשרת השני של ה Child Domain וכך גם לכל כיוון ורק לדומיין TalRDS.com במצב כזה של Non-Transitive Trust  היינו צריכים לבצע ידנית את ה Trust’s עד שזה היה הופך לבלתי אפשרי בארגונים ענקיים ולכן נשתמש ב Transitive Trust

Transitive Trust

ניתן לראות בדיאגרמה, נסתכל על TalRDS.COM ונוכל לראות שכאשר הTree Root (שהוא TalRDS.com) רוצה לגשת לNeo הוא ניגש ישירות אבל כאשר TalRDS רוצה לגשת ל Alpha  הוא יעבור קודם ב CDFS ורק אז יגיע ל Alpha

עכשיו נבדוק תאוריה אחרת, נאמר שמשתמש בארגון Alpha.CDFS.TalRDS.com רוצה לגשת לשרת ה FTP בTalRDS.com הוא יבצע את הדרך הבאה:
הבקשה תעבור מהמחשב של המשתמש אל שרת Alpha.CDFS.TalRDS.com
שרת CDFS.TalRDS.com יעביר את הבקשה לשרת TalRDS.Com
שרת TalRDS.Com ייתן לו גישה לשרת FTP אם ניתן לו הרשאה קודם לכן

 

וזה נקרא Tree Trust

Forest Trust

ניתן לראות בסכמה סוג זה של Trust בקו האדום בין TalRDS.com לבין Ncorp.com שהם שתי ישויות שונות לחלוטין, וTrust כזה נוצר באופן ידני על ידי מנהל הרשת

Shortcut Trust

עכשיו דמיינו שדומיין Alpha רוצה לגשת לTreeRDS לפי ההסבר שלי למעלה ניתן להבין שהוא חייב לעבור דרך Neo ואז לעבור דרך TalRDS ורק אז הוא יעבור לTreeRDS כך זה בשביל לגשת לתיקייה מסויימת שנמצאת ב TreeRDS עכשיו אם בין 2 הדומיינים האלו יש הרבה תעבורה וחיבור מתמיד בינהם? אנחנו נרצה לבטל את הדרך הארוכה הזו ולכן ניצור Shortcut Trust וכך ניצור חיבור ישיר בין Alpha ל TreeRDS

Realm Trust

כאשר אתם רוצים לגשת לAD אשר נמצא על הפצת לינוקס ממערכת מיקרוסופט (בהנחה ששניהם משתמשים ב Kerberos ) אתם יכולים ליצור Realm

ניתן להגדיר Two-Way או One-Way – אין כל כך מה להסביר, ה Trust יהיה ל2 הצדדים או לצד אחד

ה Trust יהיה Non-Transitive Trust או Transitive Trust

 

Extranal Trust

כאשר רוצים לבצע חיבור בין מערכת NT עתיקה לבין מערכת Windows Server עדכנית (2008,2012,2003) נאלץ להשתמש ב Extranal Trust

 

מאמרים קשורים

Leave a Comment