کنسول مدیریتی Active Directory Domains and Trust
نحوه Trust بین دو Domain Forest : هنگامی که ما یک دامنه جدید ایجاد می کنیم، این کار را با نصب Active Directory روی سرور انجام می دهیم. این فرآیند آن سرور را به اولین Domain Controler در دامنه جدید تبدیل می کند.
در یک سازمان کوچک، ممکن است همان یک Domain کفایت کند. اما در سازمانهای بزرگتر، معمولا Domain های متعددی برای تفکیک بخشها استفاده میشود.
یک Active Directory ممکن است شامل چندین Domain به صورت سلسله مراتبی باشد. همه منابع یک Domain ممکن است به طور مستقیم در دسترس نباشد. Trust شما را قادر می سازد تا به کاربران، گروه ها و رایانه ها در دامنه های مختلف دسترسی به منبع را بدهید.
هنگامی که یک دامنه به دامنه دیگری در یک شبکه AD تراست دارد، می توانند منابع شان را با یکدیگر به اشتراک بگذارند. بنابراین، Active Directory Domain and Trust ابزاری برای کاربر است که بتواند در شبکه به منابعی از دامنه های دیگر دسترسی پیدا کند.
انواع Trust:
پیش از آن که با نحوه Trust بین دو Domain Forest آشنا شویم به معرفی انواع Trust می پردازیم:
- Transitive Trust
- Non-Transitive trust
Transitive Trust اساسا یک رابطه دو طرفه است که به طور خودکار بین Parent Domains و Child Domain در Microsoft Active Directory Forest ایجاد می شود. هنگامی که یک Domain ایجاد میشود، بهطور پیشفرض منبع را با Domain اصلی خود به اشتراک میگذارد و کاربران تأیید شده را قادر میسازد تا به منبعی در Child و Parents دسترسی داشته باشند.
به عنوان مثال، در یک رابطه Active Directory transitive trust ، اگر دامنه A (a.com) به دامنه B (b.com) تراست داشته باشد و دامنه B با دامنه C (c.com) Transitive Trust داشته باشد، بنابراین دامنه A به طور خودکار به دامنه C تراست دارد.
در نوع Trust Non-Transitive، اگر دامنه A به دامنه B تراست داشته باشد، و دامنه B دارای یک non-transitive trust با دامنه C باشد. در این مورد، حتی اگر دامنه A یک پیوند غیرمستقیم به دامنه C از طریق دامنه B داشته باشد، دامنه A تراست ندارد. زیرا دامنه C یک non-transitive است.
اکتیو دایرکتوری به دو دسته تقسیم می شود:
Trust یک طرفه یا One way Trust
،Trust دو طرفه یا Two-way Trust
Trust یک طرفه: این بدان معنی است که وقتی یک دامنه به دامنه دیگری Trust دارد، آن Trust به صورت برعکس اتفاق نمی افتد. از این رو، تنها یک Trust یک طرفه جریان دارد.به عنوان مثال، اگر دامنه A دارای ،Trust یک طرفه با دامنه B باشد، دامنه A به دامنه B تراست دارد و می تواند به منبعی از دامنه B دسترسی داشته باشد. اما دامنه B به دامنه A تراست ندارد و نمی تواند به منبعی از دامنه A دسترسی پیدا کند.
Trust دو طرفه: وقتی یک دامنه به دامنه دیگر Trust دارد، راه دیگر نیز اعتماد است. بنابراین، هر دو دامنه می توانند به منبع همدیگر دسترسی داشته باشند.به عنوان مثال، اگر دامنه A دارای Trust دو طرفه با دامنه B باشد، به طور خودکار به این معنی است که دامنه B نیز به دامنه A تراست دارد و هر دو دامنه می توانند منابع را بین خود به اشتراک بگذارند.
پنج نوع Trust در Active Directory وجود دارد:
- Parent-child Trust
- Tree-Root Trust
- Forest Trust
- Shortcut Trust
- Realm Trust
- External Trust
Parent-child Trust
Parent-child Trust (اعتماد والدین به فرزند) به طور ضمنی ایجاد می شود. این یک اعتماد two-way transitive است. هنگامی که یک Child Domain به Parent Domain اضافه می شود، Parent-Child Trust به طور خودکار ایجاد می شود. هنگامی که یک Child Domain جدید اضافه می شود، مسیر Trust از طریق سلسله مراتب دامنه به سمت بالا جریان می یابد.
Tree-Root Trust
Tree-root trust نیز یک two-way transitive trust شبیه parent-child trust است. هنگامی که یک domain tree جدید در یک forest ایجاد می شود، یک tree-root trust به طور خودکار بین new domain treeو همه tree domains های خروجی ایجاد می شود.
Forest Trust
Forest trust یک transitive trust است و می می تواند trust یک طرفه یا دو طرفه داشته باشد. Forest Trust به صورت دستی ایجاد می شود، one-way transitive یا two-way transitive که به شما امکان می دهد دسترسی به منبع بین چندین Forest را فراهم کنید.
بنابراین نحوه trust بین دو domain forest نیازمند رزولوشن DNS بین Forestها دارد. Forest Trust را نمی توان به Forest های دیگر تعمیم داد، برای مثال، اگر Forest1.com به Forest2.com اعتماد کند، و Trust دیگری بین Forest2.com و Forest3.com ایجاد شود، Forest1.com اعتماد ضمنی ندارد. اگر trust مورد نیاز است، باید به صورت دستی ایجاد شود.
Shortcut Trust
Shortcut trust به صورت دستی Trust های one-way و transitive trusts ایجاد می کند. فقط می توانند در یک Forest وجود داشته باشند و برای بهینه سازی فرآیند احراز هویت و کوتاه کردن مسیر Trust ایجاد شده اند. این Trust ها زمانی ایجاد می شوند که یک دامنه نیاز به Trust به دامنه دیگر با دور زدن سلسله مراتب Trust هایی مانند parent-child trust و Tree-root trusts داشته باشد.
External Trust
External trust یک تراست one-way non-transitive است. این Trust ها به صورت دستی ایجاد می شوند. یک external trust با یک external domain خارج از Forest تراست ایجاد می کند.
Realm Trust
این نوع Trust، بین یک دامنه یا یک Forest با دامنه یا یک Forest دیگر که مبتنی بر Active Directory ویندوز نیست ایجاد می شود. می توان یک Realm Trust ایجاد کرد تا دسترسی به منابع و قابلیت همکاری بین پلتفرمی، بین یک دامنه AD DS و Kerberos v5 قلمرو غیر ویندوزی ایجاد شود.
نحوه Trust بین دو Domain Forest
Trust بین دو Domain Forest : همانطور که از تیتر مقاله پیداست، ما می خواهیم نحوه Trust بین دو Domain Forest را پیاده سازی کنیم. بنابراین ما نیاز به دو Forest جداگانه داریم.
ابتدا دو ویندوز سرور 2022 نصب کردیم و تنظیمات اولیه آن را انجام دادیم سپس رول اکتیو دایرکتوری را نصب کردیم و نام Domain Forest اول را hiva.local و نام Domain Forest دوم را project.local گذاشته ایم.
اولین قدم برای Trust دو Domain Forest این است که دو دومین با یکدیگر ping اسمی یا دامنه داشته باشند. بنابراین وارد بخش تنظیمات DNS شده و آدرس IP هریک از دامنه ها را در بخش DNS دامنه مقابل وارد می کنیم. سپس برای اطمینان از اینکه با یکدیگر ارتباط دارند از بخش استارت CMD را باز کرده و ping دامنه می گیریم تا مطمئن شویم با یکدیگر ارتباط دارند.
فرقی نمی کند که از کدام دامنه برای ایجاد تراست استفاده کنید، چون هدف ما ایجاد یک تراست دو طرفه بین دو Domain Forest است. ما دامنه hiva.local را انتخاب کرده و تمامی مراحل زیر را روی این دامنه انجام می دهیم.
طبق عکس زیر از نوار ابزار بالا، روی Tools کلیک کرده و گزینه دوم یعنی Active Directory Domains and Trusts را انتخاب می کنیم.
روی نام دامنه راست کلیک می کنیم و Properties می گیریم.
وارد تب Trust می شویم و از قسمت پایین روی New Trust کلیک می کنیم.
در اولین قدم Next را می زنیم.
همانطور که در تصویر زیر مشاهده می کنید در این مرحله از ما اسم دامین مقصدی که قرار هست به آن Trust شویم پرسیده می شود. چون ما روی دامین hiva.local قرار داریم، بنابراین در این قسمت اسم دامین مقابل یعنی project.local را وارد می کنیم و Next را می زنیم.
در قسمت Trust Type از ما نوع Trust را می خواهد. چون ما قصد ایجاد Transitive Trust داریم و از طرفی دو Domain Forest جداگانه داریم بنابراین Trust ما در سطح Forest انجام خواهد شد، پس در این قسمت گزینه Forest Trust را انتخاب می کنیم.
در این مرحله از ما جهت Trust پرسیده می شود که ما گزینه Two Way Trust را انتخاب کرده تا یک Trust دوطرفه داشته باشیم.
در بخش Sides of trust باید Permission یا سطح دسترسی DC ها را تعیین کنیم. وقتی گزینه Both of this domain and the specified domain را انتخاب می کنیم در واقع تعیین می کنیم که این تنظیمات در هر دو DC انجام شود. یعنی تمامی تنظیماتی که در hiva.local در حال پیاده سازی است در project.local هم اجرا شود.
چون در مرحله قبل تنظیمات را برای هر دو DC انتخاب کردیم، در این مرحله باید یک Username و Password از DC مقابل یعنی project.local وارد کنیم.
در این مرحله باید سطح دسترسی و احراز هویت مربوط به کاربران دامنه فعلی یعنی hiva.local را تعیین کنیم.
در حالت Forest wide Authentication سطح دسترسی را برای کلیه کاربران دامین لوکالی لحاظ می کنیم و در حالت Authentication Selective می توانیم به صورت سطح به سطح و کاربر به کاربر سیستم احراز هویتی را پیاده سازی کنیم.
حالت Authentication Selective برای مواردی استفاده می شود که Trust را فقط برای عده خاصی از کاربرانمان در نظر داشته باشیم. در این قسمت گزینه Forest wide Authentication را انتخاب می کنیم.
در این مرحله هم همان تنظیمات مرحله قبل را انجام می دهیم.یعنی Forest wide Authentication را اتنخاب می کنیم. اما اینبار برای یوزرهای دامین مقابل یعنی project.local تعیین می کنیم که همین تنظیمات در آن دامین نیز اعمال شود.
در این قسمت خلاصه ای از تنظیماتی که تا بحال انجام داده ایم را نشان می دهد. Next می زنیم.
برای تأیید نهایی، از ما تنظیمات Incoming و Outgoing پرسیده می شود که هر دوی آنها را تایید کرده و گزینه Yes را انتخاب می کنیم.
Finish را می زنیم و Trust بین دو Domain Forest ایجاد می شود.
حالا مجددا به تنظیمات Active Directory Domains and trusts می رویم و روی دامنه hiva.local راست کلیک کرده و praperty می گیریم و وارد تب Trust می شویم.طبق عکس زیر مشاهده می کنیم که دامنه hiva.local با دامنه Project.local تراست شده است و ما توانستیم Trust بین دو Domain Forest را ایجاد کنیم.
اگر همین مراحل را در دامنه مقابل یعنی project.local برویم نیز مشاهده می کنیم که دامنه hiva.local تراست شده است.
مثال:
برای درک بهتر نحوه Trust بین دو Domain Forest برای شما مثالی می زنیم.
یک Folder ساده به نام Share در دامین hiva.local ساخته ایم و می خواهیم به اشتراک بگذاریم. برای این کار ابتدا روی فولدر راست کلیک کرده و praperties را انتخاب می کنیم.
و از تب Sharing و سپس Security برای به اشتراک گذاشتن فولدر مورد نظر اقدام می کنیم. زمانی که می خواهیم در Advanced Sharing و تب Security به فولدر Permission بدهیم بعد از Add کردن، می توانیم در کادر Location دامین هایی که به آنها Trust داریم را مشاهده کنیم.
همانطور که در ابتدای مثال توضیح دادیم، ما در دامنه hiva.local هستیم، اما به دلیل Trust بین hiva.local و progect.local ما می توانیم برای کاربران progect.local فولدر به اشتراک بگذاریم و به تمامی کاربران این دامین نیز دسترسی داریم.
برای مشاهده نحوه Trust بین دو Domain Forest می توانید ویدیوی زیر را مشاهده کنید.
هیواشبکه
خدمات ما در مجموعه هیواشبکه شامل :
شرکت فنی و مهندسی هیوانوآوران داده گستر مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2016 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور در خدمت شما عزیزان هستیم.
هیچ دیدگاهی نوشته نشده است.