Tw-city.info

IT Новости
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Доверительные отношения между доменами что это

Записки IT специалиста

Технический блог специалистов ООО»Интерфейс»

  • Главная
  • Восстанавливаем доверительные отношения в домене

Восстанавливаем доверительные отношения в домене

  • Автор: Уваров А.С.
  • 28.02.2015

С ошибкой «Не удалось установить доверительные отношения между этой рабочей станцией и основным доменом» время от времени приходится сталкиваться каждому системному администратору. Но не каждый понимает причины и механизмы процессов, приводящие к ее возникновению. Потому что без понимания смысла происходящих событий невозможно осмысленное администрирование, которое подменяется бездумным выполнением инструкций.

Учетные записи компьютеров, также, как и учетные записи пользователей, являются участниками безопасности домена. Каждому участнику безопасности автоматически присваивается идентификатор безопасности (SID) на уровне которого осуществляется доступ к ресурсам домена.

Перед тем как предоставить учетной записи доступ к домену необходимо проверить ее подлинность. Каждый участник безопасности должен иметь свою учетную запись и пароль, учетная запись компьютера не исключение. При присоединении компьютера к Active Directory для него создается учетная запись типа «Компьютер» и устанавливается пароль. Доверие на этом уровне обеспечивается тем, что данная операция производится администратором домена или иным пользователем, имеющим для этого явные полномочия.

Впоследствии при каждом входе в домен компьютер устанавливает защищенный канал с контроллером домена и сообщает ему свои учетные данные. Таким образом между компьютером и доменом устанавливаются доверительные отношения и дальнейшее взаимодействие происходит согласно установленных администратором политик безопасности и прав доступа.

Пароль учетной записи компьютера действует 30 дней и впоследствии автоматически изменяется. При этом важно понимать, что смену пароля инициирует компьютер. Это происходит аналогично процессу смены пароля пользователя. Обнаружив, что текущий пароль просрочен, компьютер при очередном входе в домен его заменит. Поэтому, даже если вы не включали компьютер несколько месяцев, доверительные отношения в домене сохранятся, а пароль будет заменен при первом входе после длительного перерыва.

Доверительные отношения нарушаются в том случае, если компьютер пытается аутентифицироваться в домене с недействительным паролем. Как такое может произойти? Самый простой способ — это откатить состояние компьютера, например, штатной утилитой восстановления системы. Такой же эффект может быть достигнут при восстановлении из образа, снапшота (для виртуальных машин) и т.п.

Еще один вариант — это изменение учетной записи другим компьютером с таким же именем. Ситуация довольно редкая, но иногда случается, например, когда сотруднику поменяли ПК с сохранением имени, выведя из домена старый, а потом снова ввели его в домен забыв переименовать. В этом случае старый ПК при повторном вводе в домен сменит пароль ученой записи компьютера и новый ПК уже не сможет войти, так как не сможет установить доверительные отношения.

Какие действия следует предпринять, столкнувшись с данной ошибкой? Прежде всего установить причину нарушения доверительных отношений. Если это был откат, то кем, когда и каким образом он был произведен, если пароль был сменен другим компьютером, то опять-таки надо выяснить, когда и при каких обстоятельствах это произошло.

Простой пример: старый компьютер переименовали и отдали в другой отдел, после чего произошел сбой, и он автоматически откатился на последнюю контрольную точку. После чего данный ПК попытается аутентифицироваться в домене под старым именем и закономерно получит ошибку установления доверительных отношений. Правильными действиями в этом случае будет переименовать компьютер как он должен называться, создать новую контрольную точку и удалить старые.

И только убедившись, что нарушение доверительных отношений было вызвано объективно необходимыми действиями и именно для этого компьютера можно приступать к восстановлению доверия. Сделать это можно несколькими способами.

Пользователи и компьютеры Active Directory

Это самый простой, но не самый быстрый и удобный способ. Открываем на любом контроллере домена оснастку Пользователи и компьютеры Active Directory, находим необходимую учетную запись компьютера и, щелкнув правой кнопкой мыши, выбираем Переустановить учетную запись.

Затем входим на потерявшем доверительные отношения компьютере под локальным администратором и выводим машину из домена.

Затем вводим ее обратно, перезагрузку между этими двумя действиями можно пропустить. После повторного ввода в домен перезагружаемся и входим под доменной учетной записью. Пароль компьютера будет изменен при повторном включении компьютера в домен.

Недостаток этого способа, что машину требуется выводить из домена, а также необходимость двух (одной) перезагрузки.

Утилита Netdom

Данная утилита входит в состав Windows Server начиная с редакции 2008, на пользовательские ПК ее можно установить из состава пакета RSAT (Средства удаленного администрирования сервера). Для ее использования войдите на целевой системе локальным администратором и выполните команду:

Разберем опции команды:

  • Server — имя любого доменного контроллера
  • UserD — имя учетной записи администратора домена
  • PasswordD — пароль администратора домена

После успешного выполнения команды перезагрузка не требуется, просто выйдите из локальной ученой записи и войдите в доменный аккаунт.

Командлет PowerShell 3.0

В отличие от утилиты Netdom, PowerShell 3.0 входит в состав системы начиная с Windows 8 / Server 2012, для более старых систем его можно установить вручную, поддерживаются Windows 7, Server 2008 и Server 2008 R2. В качестве зависимости требуется Net Framework не ниже 4.0.

Читать еще:  Группа контроллеры домена

Точно также войдите на системе, для которой нужно восстановить доверительные отношения, локальным администратором, запустите консоль PowerShell и выполните команду:

  • Server — имя любого контроллера домена
  • Credential — имя домена / учетной записи администратора домена

При выполнении этой команды появится окно авторизации в котором вы должны будете ввести пароль для указанной вами учетной записи администратора домена.

Командлет не выводит никаких сообщений при удачном завершении, поэтому просто смените учетную запись, перезагрузка не требуется.

Как видим, восстановить доверительные отношения в домене довольно просто, главное — правильно установить причину возникновения данной проблемы, так как в разных случаях потребуются разные методы. Поэтому мы не устаем повторять: при возникновении любой неполадки сначала нужно выявить причину, а только потом принимать меры к ее исправлению, вместо того чтобы бездумно повторять первую найденную в сети инструкцию.

Восстановление доверительных отношений без повторного ввода в домен

В этой статье мы коснемся проблемы нарушения доверительных отношений между рабочей станцией и доменом, мешающей пользователю авторизоваться в системе. Рассмотрим причину проблемы и простой способ восстановления доверительных отношений по безопасному каналу.

Как проявляется проблема: пользователь пытается авторизоваться на рабочей станции или сервере под своей учетной запись и после ввода пароля появляется ошибка:

Или такая:

Попробуем разобраться, что же означают данные ошибки и как их исправить.

Пароль компьютера в домене AD

Когда компьютер вводится в домен Active Directory, для него создается отдельная учетная запись компьютера с паролем. На этом уровне доверие обеспечивается тем, что эта операция выполняется администратором домена или пользователем домена (каждый пользователь по умолчанию может включить в домен 10 ПК).

При регистрации компьютера в домене, между ним и контроллером домена устанавливается безопасный канал, по которому передаются учетные данные, и дальнейшее взаимодействие происходит в соответствии с политиками безопасности, установленными администратором.

Пароль учетной записи компьютера по умолчанию действует 30 дней, после чего автоматически меняется. Смена пароля инициируется самим компьютером на основании доменных политик.

Совет. Максимальный срок жизни пароля может быть настроен с помощью политики Domain member: Maximum machine account password age, которая находится в разделе: Computer Configuration-> Windows Settings-> Security Settings-> Local Policies-> Security Options. Срок действия пароля компьютера может быть от 0 до 999 (по умолчанию 30 дней).

Если пароль компьютера просрочен, он автоматически меняется при следующей регистрации в домене. Поэтом, если вы не перезагружали компьютер несколько месяцев, доверительные отношения между ПК и доменом сохраняются, а пароль компьютера будет сменен при следующей перезагрузке.

Доверительные отношения разрываются, если компьютер пытается аутентифцироваться в домене под неверным паролем. Обычно это происходит, когда компьютер восстанавливают из образа или из снапшота виртуальной машины. В этом случае пароль машины, хранящийся локально, и пароль в домене могут не совпадать.

«Классический» способ восстановить доверительные отношения в этом случае::

  1. Сбросить пароль локального администратора
  2. Вывести ПК из домена и включить его в рабочую группу
  3. Перезагрузится
  4. С помощью оснастки ADUC – сбросить учёту компьютера в домене (Reset Account)
  5. Повторно включить ПК в домен
  6. Еще раз перезагрузиться

Этот метод самый простой, но слишком топорный и требует как минимум двух перезагрузок и 10-30 минут времени. Кроме того, могут возникнуть проблемы с использованием старых локальных профилей пользователей.

Есть более элегантный способ восстановить доверительные отношения без перевключения в домен и без перезагрузок.

Утилита Netdom

Утилита Netdom включена в состав Windows Server начиная с 2008 версии, а на ПК пользователей может быть установлена из RSAT (Remote Server Administration Tools). Чтобы восстанвить доверительные отношения, нужно войти в систему под локальным администратором (набрав “.Administrator” на экране входа в систему) и выполнить такую команду:

Netdom resetpwd /Server:DomainController /UserD:Administrator /PasswordD:Password

  • Server – имя любого доступного контроллера домена
  • UserD – имя пользователя с правами администратора домена или Full control на OU с учетной записью компьютера
  • PasswordD – пароль пользователя

Netdom resetpwd /Server:sam-dc01 /UserD:aapetrov /PasswordD:Pa@@w0rd

Послу успешного выполнения команды перезагрузка не нужна, достаточно выполнить логофф и войти в систему под доменной учетной.

Командлет Reset-ComputerMachinePassword

Командлет Reset-ComputerMachinePassword появился в PowerShell 3.0, и в отличии от утилиты Netdom, уже имеется в системе, начиная с Windows 8 / Windows Server 2012. На Windows 7, Server 2008 и Server 2008 R2 его можно установить вручную (http://www.microsoft.com/en-us/download/details.aspx?id=34595), также требуется наличие Net Framework 4.0 или выше.

Также нужно войти в систему под локальной учетной записью администратора, открыть консоль PowerShell и выполнить команду:

Reset-ComputerMachinePassword -Server DomainController -Credential DomainAdmin

  • Server – имя контроллера домена
  • Credential – имя пользователя с правами администратора домена (или правами на OU с ПК)

Reset-ComputerMachinePassword -Server sam-dc01 -Credential corpaapetrov

В открывшемся окне безопасности нужно указать пароль пользователя.

Совет. Эту же операцию можно выполнить с помощью другого командлета Powershell Test-ComputerSecureChannel:

Test-ComputerSecureChannel -Repair -Credential corpaapetrov

Читать еще:  Альбомная ориентация word 2020

Проверить наличие безопасного канала между ПК и DC можно командой:

Следующие строки подтверждают, что доверительные отношения были успешно восстановлены:

Trusted DC Connection Status Status = 0 0x0 NERR_Success

Trust Verification Status = 0 0x0 NERR_Success

Как вы видите, восстановить доверительные отношения в домене довольно просто.

Домены и доверительные отношения

Домен занимает центральное место в Active Directory.

Под доменом понимается совокупность компьютеров, характеризующихся наличием общей базы учетных записей пользователей и единой политикой безопасности.

Таким образом, доменом называется отдельная область безопасности в компьютерной сети Windows, использующей технологию NT.

Служба каталогов Active Directory может охватывать один или нескольких доменов. На автономной рабочей станции доменом является сам компьютер. С физической точки зрения домен может включать в себя компьютеры, расположенные в разных местах. В каждом домене действует своя политика безопасности и свои отношения безопасности с другими доменами.

Если несколько доменов связаны доверительными отношениями и имеют одни и те же схему, конфигурацию и глобальный каталог, мы имеем дерево доменов. Несколько деревьев доменов могут быть объединены в лес.

Дерево доменов (дерево) состоит из нескольких доменов, имеющих общие схему и конфигурацию и тем самым образующих общее пространство имен. Домены одного дерева также связаны между собой доверительными отношениями. Служба каталогов Active Directory представляет собой множество, состоящее из одного или нескольких деревьев.

Деревья можно рассматривать с двух точек зрения: с позиции доверительных отношений между доменами или как пространство имен дерева доменов.

Дерево доменов можно представить в виде индивидуальных доменов и существующих между ними доверительных отношений.

Операционная система Windows 2000/2003 устанавливает доверительные отношения между доменами на основе протокола безопасности Kerberos 5.

Доверительные отношения по протоколу Kerberos транзитивны: если домен A доверяет домену B, а домен B доверяет домену C, то домен A доверяет домену C. Доверяющий домен будет доверять процедуре аутентификации на доверенном домене, т. е. учетные записи доверенного домена можно использовать на доверяющем домене (рис. 3.8). Значит, пользователям доверенного домена могут быть даны ресурсы доверяющего домена.

Рис 3.8. Дерево доменов, рассматриваемое в терминах доверительных отношений

Можно представить дерево доменов на основе пространства имен (рис. 3.9).

Рис. 3.9. Представление дерева доменов в виде пространства имен

Лесом называется набор, состоящий из одного или нескольких деревьев, которые не образуют непрерывного пространства имен. Все деревья леса имеют одни и те же схему, конфигурацию и глобальный каталог. Все деревья леса связаны доверительными отношениями посредством транзитивных доверительных отношений по протоколу Kerberos.

Лес, в отличие от дерева, не должен иметь отличающее его имя. Лес существует как набор объектов перекрестных ссылок и доверительных отношений по протоколу Kerberos, известных деревьям, составляющим этот лес (рис. 3.10).

Рис. 3.10. Лес, содержащий более одного дерева

Деревья леса образуют иерархию доверия по протоколу Kerberos; имя дерева, находящегося в корне дерева доверия, может быть использовано для ссылки на указанный лес.

Доверительные отношения доменов — права администратора в другом домене

Итак, затронем тему доверительных отношений доменов Active Directory и покопаемся в теме — как для администратора одного домена дать права доменного админа другого домена.

Имеем:

  • Домен 1 (Domain1).
  • Домен 2 (Domain2).
  • Настроенные транзитивные доверительные отношения между этими двумя доменами.

Наша задача — будучи администраторами в одном домене (Domain1) получить права доменных администраторов во втором домене (Domain2). Таким образом, работая на компьютере, находящимся в домене Domain1, под учеткой домена Domain1, Вы сможете рулить серверами и компьютерами домена Domain2, заходить на их административную шару, получать безоговорочный доступ по RDP как администратор и автоматически иметь права локального администратора машинок из домена Domain2. Причем не имея учетки в Domain2.

Таким образом, если Вы являетесь администратором некоего холдинга с несколькими доменами (в начальном случае — двух доменов) Вы сможете ходить на компьютеры других доменов и рулить ими так же, как и компьютерами собственного домена.

1) Создадим в Domain1 группу безопасности, в которую включим все учетные записи, которые следует считать доменными администраторами в Domain2. Назовем ее «Администраторы из Domain1».

Как частный случай: если мы хотим, чтобы все доменные администраторы Domain1 имели права доменных администраторов в Domain2: создаем группу «Администраторы из Domain1» и включаем в нее группу «Domain admins» (или «Администраторы домена», если домен создан на русском языке).

2) Даем группе «Domain1Администраторы из Domain1» права в Domain2.

Для этого открываем оснастку «Active Directory Пользователи и компьютеры» на контроллере домена Domain2, переходим в раздел «Builtin» и находим группу «Administrator» (Администраторы). Открываем ее и добавляем в нее группу «Domain1Администраторы из Domain1». Таким образом мы говорим контроллерами домена Domain2 о том, что наши перцы из Domain1 являются администраторами.

ЗЫ. Добавить группу «Domain1Администраторы из Domain1» сразу в группу «Domain2Domain admins» (Domain2Администраторы домена) НЕЛЬЗЯ! Потому и танцуем с бубном.

3) В домене Domain2 создаем группу безопасности (локальную, не глобальную), в которую включим группу «Domain1Администраторы из Domain1». Назовем ее «Администраторы Domain2».

Читать еще:  Групповая политика домена

В будущем, кстати, если нужно давать права на управление сразу из нескольких доменов, то достаточно будет изменить только эту группу — и автоматически все случится.

Помимо группы «Domain1Администраторы из Domain1» в данную созданную группу можно так-же внести и свою собственную «Domain2Domain admins» (или «Domain2Администраторы домена» в русской версии).

4) Создаем групповую политику

Дело в том, что мало прописать группу «Domain1Администраторы из Domain1» в «BuiltinАдминистраторы» — это даст только права на самих контроллерах домена. Нужно еще объяснить обычным компам и серверам, что мы хотим их админить.

Чтобы замутить такое — нужно открыть редактор групповых политик домена Domain2 и создать новую политику. Расположим ее в домене Domain2 и в качестве фильтра оставим по-умолчанию «Прошедшие проверку» — тогда политика будет распространяться на все компьютеры и сервера в домене Domain2.

4а) Открываем редактор групповых политик Domain2 (как именно он открывается зависит от версии Windows Server — для 2008 — это Пуск->Администрирование->Управление групповой политикой; для 2003 — это отдельное, скачиваемое с Microsoft приложение с названием вроде «Group Policy Editor» или типа того, уже не помню).
4б) Создаем новую политику и размещаем в контейнере Domain2.
4в) Открываем ее на редактирование и идем в:
Конфигурация компьютера -> Настройка -> Параметры панели управления -> Локальные пользователи и группы
4г) Создаем новый элемент, в котором указываем:
Действие: Обновить
Имя группы: Администраторы (втроенная учетная запись)
Жмете на «Добавить» и добавляем группу «Domain2Администраторы Domain2».

Закрываем все через ОК — и все, с групповой политикой мы закончили.

5) Теперь придется подождать — пока все компьютеры и серверы обновят групповую политику. После этого в их локальной политике безопасности появится запись о том, что группу «Domain2Администраторы Domain2» нужно считать локальными администраторами, а в данной группе находятся пользователи из группы «Domain1Администраторы из Domain1», и, соответственно, администраторы Domain1 получают административный доступ как к машинкам из домена Domain2, так и к управлению учетными записями Domain2.

ЗЫ. Но вот групповыми политиками у себя по данной схеме оно рулить не дает. Вероятно, но еще в какую-то Builtin группу включать по примеру п.2. Я пока не выяснял — мне оно не горит. Выясню — допишу.

Описание Active Directory

Оснастка Active Directory Domains and Trusts

В оснастке Active Directory Domains and Trusts (Домены и доверительные отношения Active Directory ) вы можете просматривать, создавать, модифицировать и проверять доверительные отношения для вашего леса. Доверительные отношения позволяют пользователям одного домена аутентифицироваться в доверяющем домене. Если пользовательская учетная запись может быть аутентифицирована, то вы можете предоставлять доступ к ресурсам этого доверяющего домена.

Ниже приводится список различных типов доверительных отношений в Windows Server 2003.

  • Domain root trust (Доверительные отношения между корнями доменов).Доверительные отношения между корнями двух различных доменов одного леса. На рис. 10.5 показан этот тип доверительных отношений между двумя деревьями: company.dom и domain2.dom.
  • Parent-child trust (Доверительные отношения между родительским и дочерним доменами).Отношения в рамках одного пространства доменных имен. На рис. 10.5 имеется домен sales под корнем company.dom. Их доверительные отношения — это отношения между родительским и дочерним доменами. В лесу Active Directory доверительные отношения являются двусторонними и транзитивными. Транзитивность на рис. 10.5 означает, что для доступа к ресурсам домена finance.company.dom из домена sales.company.dom не требуется специально конфигурировать соответствующие доверительные отношения, поскольку оба этих домена являются дочерними доменами родительского домена company.com. Доверительные отношения между finance.company.dom и sales.company.dom определяются как путь доверия через все домены в одном дереве доменов.

  • Shortcut trust (Сокращенные доверительные отношения).Для транзитивности доверительных отношений в домене и лесу соответствующее доверительное отношение должно проверяться через все дерево доменов. Вы можете создавать доверительное отношение, которое позволяет снизить количество времени, требующееся для проверки пути доверия. Создавая вручную доверительное отношение в оснастке Active Directory Domains and Trusts, вы действительно сокращаете время, которое требуется для аутентификации доступа к ресурсам.
  • Forest trust (Доверительные отношения между лесами).Новый вид доверительных отношений, появившийся в Windows Server 2003; это позволяет одному лесу тран-зитивно доверять всем доменам другого леса. Например, предположим, у нас имеется домен company.dom из предыдущего примера и внутри этого домена имеется дочерний домен sales.company.dom. Если сконфигурировать доверительные отношения на уровне лесов с другим лесом, external.dom, то sales.company.dom получает транзитивные доверительные отношения через корень своего леса с другим доверяемым лесом. Вы можете конфигурировать эти доверительные отношения как транзитивные двусторонние или односторонние отношения.
  • Realm trust (Доверительные отношения с областью действия).Добавляя доверительные отношения с областью действия Kerberos, вы можете устанавливать такие доверительные отношения с областями, отличными от Windows Kerberos version Как и в случае других внешних доверительных отношений, это могут быть транзитивные или нетранзитивные двусторонние или односторонние отношения.

В следующем примере происходит добавление доверительного отношения к существующему домену.

Ссылка на основную публикацию
Adblock
detector