К. Закер - Компьютерные сети. Модернизация и поиск неисправностей (953092), страница 169
Текст из файла (страница 169)
Псевлоним объекта, который может быль создан в другом контейнере, имеет точно такие жв значения свойств, как объект-орнпгнал. Это относится и к значениям свойств, наследуемых от контейнерных объектов, в хаторых расположен объакт-оригинал. Например, псевдоним нолъжмательского обьекта будет при регистрации запускать сценарий контейнера объекта'-орвтинала, но не будет наследовать права доступа к принтерам от своего собственного контейнера. Поэтому, чтобы разрешить пользователю иметь.доступ к локальным ресурсам, когда он регистрируется в сети из другого контекста с использованием псевдонима„необходимо явно предоставить оригинальному обьекту пользователя права на эти ресурсы.
Псевдонимы должны поддерживать те же отношения, что и объекты, которые они отрекают. Например, непосредственно ниже обйкта ркоог1 'можно создать только псевдоним объекта-органилщии или объекта-страны'. Псевлонимы также динамически соелинены с обьектами, которые они отражают. Когда изменяются своистаа оригинального объекта, также изменяются свойства псевдонима, и'если удалить оригинал, то будут удалены все его псевдонимы. Когда создается бспыпое дерево МОЗ, установка значений свойств для значительного числа объекзов пользователей может замедлить процесс созда- Глава 2а Сггужбз пзгалагавйкпгвк' 7бг ния.
Существует несколько металав, позволяющих упростить процесс создания объектов пользователей, главный из которых заключаепж в наследовании объектами пользователей значений свойств контейнерных объектов Помимо этага при указании одинаковых значений свойств лля нескшгьких объектов пользователей можно применять шаблон. .Ипбгсл Гавр!аге!' — эта тип объекта, который при создании.новых объвкйзв пользователей выступает в роли образца Можно сазлать шаблон и аздвгь его свойствам значения„палабные тем, чта должны быть у объекта пользо-- вателя. Если затем при создании новых обьектов пользователей задействовать шаблон, то каждый из новых объектов будет иметь такие же значения свойств„как в шаблоне. Квк отдельный тип объекта, шаблон зггервыв бып представлен в ИесГЧвге 4.11.
Версии, предшествующие Ив6йГаге 4.х, позволяли создать из существующего объекта пользователя объект 0ЯЕгг ТЕМРЕАТЕ, в затем использовать вга для формирования навык абъвктсз пользователей с одинаковыми значениями Можно использовать объекты-шаблоны для сазлвния любого числа навьгх объектов пользователей, но нельзя применить шаблон к уже существующему объекту пользователя. Вдобавок, нужно помнить, что упглвты г!Оо обращаются х свойствам объекта-шаблона талька при создании нового объекта пользователя.
Изменение значений свойств объекта-шаблона не оказывает эффекта на объекты пользователей, которые уже существуют. ~ руппы База регистрационных данных (Ьшдегу) Хек%яке применяет группы в качестве механизма для назначения прав доступа сразу множеству паяьооватвлей. Может показатъся, чта в Нкгб различные контейнерные объекты, такие как организации н их подразделения, делают создание групп излишним, поскольку ани выполняют приблизительно те же функции. Однако группы объектов в гни отлячаютгзг ат контейнеров тем, что ани позволяют назначать права доступа совокупности пользователей, которые не обязательно все находятся в одном контексте. Так как члены группы могут быть расположены в любом месте дерева, включая пративоцалажньге концы линии связи глобальной сети, обработка прав доступа, назначенных' группе объектов, по сравнению с обработкой прав контейнерного объекта является более сложной.
По этой причине при разработке дерева надо стараться, насколько это возможно, избегигь применения групп объектов, а вместо них при назначении прав доступа задействовать контейнеры. Например, размещение пользовательских объектов для вице-президентов в контейнерах с остальными объектами нх отделений па- звалит им иметь"доступ к тем же сетевым ресурсам, к которым. имеют доступ другие сотрудники. Тем не менее, может появиться желание создать труппу абьектав а вице-преэидентами всех отделений в качестве ее членов, чтобы предоставить им права, которые могут иметь тапько руководители. Зиаиааленты безопасности и организационные роли Другой медщ назначения определенных значений дхя свойств объекта пользователя заклниается в возможности представить его зкеиеилеилюж безаласиасти Гжигйу едщюйлг~ другого объекта пользователя. Если зто сделать, то новый абьект наследует все права, предоставленные сто эквиваленту.
Проблемой угазаннопз метода является то, что он динамнческнй.. Изменение значений свойств оригинально~о обьектз вызывает такие же.изменения в свойствах его эквивалента. Например, если назначить права доступа пользовательскому объекту л1ое, а затеы сделать всех остальных пользователей отдела ега эквивалентами безопасности, то что произойдет, когда к1ое уволится нли перейдет в другой отлил? Необходимость взаимодействия между эквивалентами безопасности текла.
может снизить производительность ИВБ, в особенности, когда обьекты разделеньг каналом связи глобальной сетж В качестве альтеравгтивы эквивалентам безопасности '1Ч0$ включает объект; называеьсый авеилиии1ьаялой ролью 1'ащаЩалсиа1 лай), который задаст определенную работу, Что более предпочтительно, чем определение человека, выпалняюшего эту рабату. Можно создать объект организационная рольГ, назначить ему права доступа, а затем составить список пользователей, которым разрешено зщивить эту раль Изменение значений свойств организационной роли может динамически изменить свойства пользователей, занимаюших ее.
Перенос базы реуистрационных данных . Если версия Иег%ше, использующая базу регистрационных данных (Ылдегу), обновляется до ИеОУаге 4.х или 5.х, то, импортировав базы регистрационных данных с еушесгвуюшнх серверов ИегЖяге, можно приобрести хорошую начальщю основу для создания дерева И03. Сервиснал программа Рб Мщгаге, включенная в Иег%аге версии 4.11 и выше, является отдельной программой, которая считывает инфармацию из базь| регистрационных данных н сохраняет ее во временной базе данных. После этого на основе информации щ базы регистрационных данных можно смоделировать структуру дерева ЙК4'. сащавая контейнерные обьекты, перемешан.пользователей и группы обьектов в другие контейнеры н изменяя свойства объектов.
Получив желаемую структуру дерева, можно передать ее в реальную базу данных ИЕЙ. Зим при помаши Иег%аге Рйе М1йгат1оп Шййу можно переместить файлы с томов старых серверов на тома Иег%аге 4.х или 5.х, сахра- аласщ ю лаг мгелегя няя неизменными нрава доступа, перенесенные с обьектов базы регистрационных данных (ЫпгЪу).
Объединение деревьев Озшегйезлш является утилитой консоли сервера, которая позволяет объединить два отдельных. дерева ИьгБ в одну базу данных. Эту сераисттую программу можно применять при слиянии компаний или отделов с самостоятельными деревьями ИПБ, или для вклЮчения экспериментальной базы данных в дерево сети компании. 1ММЕКьгЕ просто обьединяет указанные корни двух деревьев. Если встречаются одноименные объекты, то она не улаживаег конфликты между ними и не обьединяет их. Поэтому прежде, чем выполнять объединение, необходимо убелиться, что на верхнем уровис деревьев не содержится контейнерных обьектов с совпадающими именами Обеспечение безопасности в й08 Подобно файловой системе, база данных службы каталогов содержит'пенную информапию, которая должна быть защищена от неавторизованного доступа или изменений, а также непреднамеренного уничпикения.
МЖ включает свою собственную систему разрешений, юторая не зависит от разрешений, которые назначаются файлам и каталогам на томах Нег%ага. Эти разрешения мшкно использовать, чтобы указать пользователей, которым позволен доступ к различимы абьектам в дереве и их свойствам, Риог 21.13. Диелогогюе окно %иегове от зиьп3е программы ИеФМаге АФпаМгаЬзг Таким образом, можно передать работу по обслуживанию части дерева Ы08 определенным администраторам без предоставления им доступа ко всему дереву и разрешить пользователям читать информацию в базе данных без вазможности изменить ее. Однако из-за тога, чтя разрешения К08 и разрешения файловой системы отделены друг ст друга, возможно, чта пользователи будуг иметь доступ к файлам и каталогам на определенном томе Хег%аге, не имея доступа к объекту тома в дереве 'ИПБ Правами безопасности ХВБ можно управлять при помощи тех же системных программ', что используются для сащання и конфигурирования объектов.
ИеИ'ага'Абпййзпвгог для управления объекта, а также ега свойствами обеспечения безопасности, фильтрами наследуемых'разрешений и эффективными правами испслыует диалоговые окна, подобные показанному на рис. 2Е(3. Иегабпйп ехе предоставляет похожие вазможности, используя текстовый интерфейс, построенный на основе меню. Права.доФтупа к объектам и свойствам ХЮЗ использует права доступа к объехрлав гофесг гЯЬ) и ярова достуло к свойюноам фжрътф гщйв], которые позволяют прсластдиать пользователям вазможность упранлять объектам и всеми его свойствами,' или проста определенными свойствами.
Типы прав доступа к объектам перечислены ниже. г) Яврегг]наг (еуаирвизар), Предоставляет полный ижтроль над объектам, включая че'Рыре других права все права доступа к свойствам н возможность предоставлять права другим пользователям.. П Вгааве (враеивзр). Разрешает пользователю видеть объект и дереве каганатов. Длл пользователя, не обладающего агой санвпией, объект н все ега подчиненные объекты невидимы. По умолчанию все пользователи получают права прзсматра лля обьекта [Каог], что позволяет им видеть дерево пвлиховмь С) Сгевге (создание).
Прелоставляет пальзаватегФ~:"'~Влажность' создавать в дереве новые абъекпя, подчиненные текущему объекту. П Вериге (улвлввив). Удаляет текущий объект из дерева. О йепазве (юмвнеиие имени). Позволяет менять имя текущего объекта Права доступа к объектам разрешают пользователям управлять самимн объектамн, на не их свойствами. Единственным исключением является право супервизора на доступ к абьекту, которое также предоставляет полный контроль над всеми свойствами объекта. Когда пользователи не имеют права супервизора, им необходимо отдельно предоставить права доступа к свойствам, чтобы онн могли изменять их значения.
Каждое нз свойств объекта имеет свое собственное права на доступ. Можно предоставить пользователю права на доступ ко всем абьектам сразу илн определить их для некоторых свойств индивидуально. Права лосгупа, которые можно назначить для свойств, перечислены ниже. (.) Вврегтьзг (еуиерввзар). предоставляет полный контрсаь над значением определеннага свойства. Глаза 2П С нвгзлагав Иокеу 7аз П Сашраге (сравнение). Разрешает пользователю сравнивать значение опре- деленного свойства со значением другого свойства. П Кеай (чтение). Позволяет видеть значение свойства.
П %пГе (запись). Дает возможность пользователю добавлять, изменять или удалять значение для определенного свойства. П Аай Бе)г (ппбавлевие себя). Разрешает пользователям дсбаллять свои объекты в список имен объектов (или удалять нх из него), являющийся значением свойства Наследование прав Так же, как разрешения файловой системы, права ХВЗ для объектов и свойств передаются вниз по дереву.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
