12 Sammankopplade domäner// Trusts Användares tillgång till resurser i en annan Windows NT-domän än den egna, är detta kapitels huvudtema. Det finns inbyggda mekanismer i Windows NT Server för att klara detta behov, men vi skall också diskutera alternativ till dem. Vi kommer att behandla sammankopplade Windows NTdomäner. Du kommer att få lära sig begrepp som q Domänkoppling (förtroende//trust) q Resursdomän//resource domain q Kontodomän//account eller master domain q Microsofts fyra domänmodeller: q Single Domain q Master Domain q Multiple Master Domain q Complete Trust OBS! Ingenting som sägs i detta kapitel gäller BackOffice Small Business Server den kan inte kopplas till andra domäner (och omvänt). Kännetecken för Windows NT-domäner Som du säkert minns från tidigare kapitel är en Windows NTdomän i mångt och mycket ett verktyg för att få ett säkrare och lätthanterligare datornät. En Windows NT-domän kännetecknas bland annat av: q Användare har ett enda användarkonto som de använder för 383
12 Sammankopplade domäner//trusts alla behov i domänen. q Användare använder sitt enda konto för att logga in på vilken dator som helst. q Användare använder sitt enda konto för att använda resurser på vilken dator som helst i domänen. q Globala grupper används för att ge grupper av användarkonton tillgång till resurser i domänen. q Alla användarkonton i domänens kontodatabas styrs av en enda uppsättning kontoprinciper. q Det är svårt för den som inte har ett användarkonto i domänen att olovligen använda resurser i domänen. Det som sagts ovan om ett enda användarkonto per person är oftast inte sant för den speciella grupp som administrerar nätverket. Administratörer har ofta ett vanligt konto när de använder domänens resurser som en helt vanlig användare och ett eller flera andra konton när de administrerar domänen. De administratörer vilka som heltidssysselsättning att administrera domänen har kanske endast ett administratörskonto och inget vanligt användarkonto. Varför sammankoppla Windows NT-domäner Ett företags eller organisations datornät lyder under samma lagar som själva företaget/organisationen: det enda konstanta är förändringen. Det är därför inte svårt att föreställa sig att användare i en domän kan behöva använda resurser i en annan domän. Detta är fallet om medarbetare i två organisationer behöver samarbeta i ett projekt och ha en eller flera gemensamma delade mappar på en server. Endera domänens användare behöver då ges tillgång till den andra domänens server. Man kan sammanfatta behovet av att koppla ihop domäner i två punkter: q För att ge användare i en domän tillgång till resurser i en annan domän. q För att ge användare i en domän möjlighet att från en annan domäns datorer utnyttja resurser i hemmadomänen. 384
Windows NT-domänerna måste ha nätverkskontakt med varandra Den andra punkten kan också formuleras som att de skall ha möjlighet att färdas till den andra organisation och från deras datorer logga in till hemmadomänen. Windows NT-domänerna måste ha nätverkskontakt med varandra En förutsättning och grund för domänkopplingar är att Windows NT-domänerna har nätverkskontakt med varandra. Hur denna kontakt sker är inte viktigt det kan röra sig om domäner i samma lokal i samma Ethernet- eller Token ring-nätverk eller det kan vara nätverk i olika världsdelar som kopplas samman vid behov via Internet, modem, satellit eller annat sätt. I slutet på detta kapitel finner du ett par förslag till lösning om du har Windows NT-domäner som inte har nätverkskontakt med varandra eller inte kan kopplas samman (av säkerhetsskäl eller andra orsaker). Windows NT-domäner skyddar sina tillgångar En Windows NT-domän som finns i ett nätverk skyddar sina tillgångar mot åtkomst från dem som inte är med i domänsamarbetet. Om du, utan att vara med i domänen, försöker se vilka resurser (utdelade skrivare och mappar) som finns på Windows NT-datorer i en Windows NT-domän kommer datorn att vägra dig detta. (Under förutsättning att det förhatliga användarkontot Gäst//Guest är inaktiverat.) Likaså har du inte tillgång till listan över användarkonton och globala grupper. Låt oss anta att vår dator är medlem av en arbetsgrupp och att det finns en Windows NT-domän i samma nätverk. När vi öppnar Nätverket//Network Neighbourhood ser vi alla datorer som ingår i Windows NT-domänen. Skulle vi försöka oss på att lista resurserna på någon Windows NT-dator kommer vi att bli avvisade. Vi har inte heller någon möjlighet att studera användarkontolistan, vi kan ju prova genom att försöka ändra delningsbehörigheterna//share permissions för en av våra egna resurser. Det finns ingen möjlighet att ange domännamnet, inte ens om vi anger namnet på domänens primära domänkontrollant. 385
12 Sammankopplade domäner//trusts Åsätta behörigheter kan man bara göra till grupper inom den egna domänen (eller sammankopplad domän). Gäst//Guest-kontot är farligt Jag har sagt det förut, men kan inte nog framhålla hur farligt användarkontot Gäst//Guest är. Det räcker med att aktivera detta konto på en Windows NT-dator för att vem som helst skall kunna se vilka resurser den datorn delar ut och dessutom kunna studera dess användarkontolista. Skulle man råka aktivera Gäst//Guest på den primära domän kontrollanten kan vem som helst studera domänens användarkontolista (både domänkonton och globala grupper). Varför koppla domäner just med domänkoppling Den domänkoppling som finns i Windows NT Server ger några mycket viktiga fördelar: q Grundregeln: en användare ett användarkonto bibehålls. q Vi bibehåller säkerheten i Windows NT-domänerna (vilket förmodligen var bidragande orsak till att vi en gång valde domäner). q Sett ur administrationssynvinkel kan flera sammankopplade domäner ofta behandlas som en enda Windows NT-domän. q Vi klarar det ovanstående utan att aktivera kontot Gäst/ /Guest. 386
Domänkoppling förtroendelänk//trust Domänkoppling förtroendelänk//trust q Den mekanism som kopplar samman domäner kallas förtroendelänk//trust. Den kommer hädanefter att kallas domänkoppling. Kom ihåg att denna beteckning är helt min egen i all litteratur och i Microsofts MCP-tester kallas den trust. q Domänkopplingen representeras ofta av en pil, vilket är mycket passande eftersom den faktiskt har en riktning. För att få reda på vilken riktning en domänkoppling skall ha måste vi utgå från resursen. Domänkopplingens riktning För att bestämma domänkopplingens riktning utgår man från resurserna och låter domänkopplingspilen peka ut den domäns kontodatabas som innehåller konton för de personer som får använda resurserna. Domänkoppling mellan resurser i en domän och kontodatabas i en annan. Den pil jag tidigare talat om ritar jag mer som ett rör ovan. Jag har mina skäl, det viktigaste just nu är att domänkopplingen har en riktning. Genomför följande tankeexperiment: Domänkopplingens riktning får jag om jag ställer mig på resursen och pekar på dem som får använda resursen. Jag ritar alltid domänkopplingen nedifrån resurserna och upp mot kontodatabasen. Min minnesregel är att jag ritar pilen upp mot de högt stående människorna. Varför jag är angelägen om att få med upp/ned-förhållandet för domänkopplingen kommer du att förstå senare i detta kapitel. 387
12 Sammankopplade domäner//trusts Domänkopplingens riktning fås om du utgår från resursen och pekar på dem som får använda den. Jag tänker att domänkopplingen fungerar som en stor ledning (ungefär som rörpost) genom vilken de globala gruppen från kontodomänen färdas till resursdomänen. På grund av detta ritar jag alltid domänkopplingar som ett rör eller en tjock pil. Ett annat synsätt, som kanske fungerar lika bra, är att du tänker dig att resurserna i resursdomänen (inklusive Windows NT-datorer) helt enkelt skickas till kontodomänen och blir en sorts hedersmedlemmar i kontodomänen. Begrepp och benämningar q Den domän som innehåller resurser kallas resursdomän. På engelska heter den Resource Domain. q Den domän som innehåller kontodatabasen kallas kontodomän. Dess engelska namn är Account Domain eller Master Domain. Förutom dessa begrepp talar all Windows NT-litteratur, även Microsofts bruksanvisningar, om domänkopplingar som trusts (trust relationships) eller förtroenden. Resursdomänen kallas förtroende domän//trusting domain och kontodomänen kallas betrodd domän//trusted domain. Personligen tycker jag illa om dessa begrepp, eftersom de förtroenden som kan upprättas mellan Windows NT-domäner inte är samma sak som förtroenden i vår dagliga värld. Jag menar att vi leds in på fel tankebanor och börjar jämföra med våra invanda begrepp om vad ett förtroende är. Därför bestämde jag mig för att kalla detta domänkopplingar. Du kommer dock säkert att stöta på de andra begreppen (MCP-tester 388
Effekter av en domänkoppling och på andra ställen) varför jag samlat dem här: Svenska och engelska benämningar för olika domänroller vid sammankopplade domäner. Effekter av en domänkoppling När två domäner kopplas till varandra får användarna nya möjligheter: 1. Användare i kontodomänen kan beredas tillfälle att använda resurser (utdelade mappar, skrivare) i resursdomänen. 2. Användare i kontodomänen kan färdas (resa, åka) till den plats där resursdomänens datorer finns och använda sina vanliga hemmakonton när de sätter sig vid resursdomänens datorer och loggar in. Vid denna inloggning anger de sitt vanliga användarkonto i hemmadomänen (kontodomänen). OBS! Möjligheten att logga in på en Windows NT-dator beror av användarrättigheten//user Right Lokal inloggning//log on locally. Om den är utdelad till Alla//Everyone kan användaren från kontodomänen omedelbart logga in på Windows NT-datorn. Skulle Lokal inloggning//log on locally vara utdelad till Domänanvändare//Domain Users (eller Användare//Users) kan hon inte logga in direkt. Hur man då gör återkommer vi till senare i detta kapitel. 3. Alla användare i kontodomänen kan lista resurser på alla Windows NT-datorer i resursdomänen. Innan domänkopplingen är 389
12 Sammankopplade domäner//trusts upprättad kan alla som har nätverkskontakt med en Windows NT-domän alltid se en lista över servrar, men inte utdelade mappar och utdelade skrivare. När domänkopplingen väl är upprättad kan alltså användarna i kontodomänen även se de utdelade resurserna (i Nätverket//Network Neighbourhood eller Windows NT-utforskaren//Windows NT Explorer). De användare som finns i resursdomänen vinner inte några som helst fördelar vid sammankoppling av två domäner på detta sätt. Tvärtom, resurserna i deras domän blir nu mer belastade så det tar längre tid att komma åt servrar och att skriva ut. Jämförelse domänkoppling ny medlemsdator i domän Att koppla ihop domäner har väldigt mycket gemensamt med att göra Windows NT-datorer till medlemmar av en domän. När en Windows NT-dator blir medlem av en domän blir datorns resurser tillgängliga för alla domänanvändare. Det är dessutom möjligt för andra användare från samma domän att slå sig ned framför den nya datorn och logga in med sitt domänkonto. Användaren når även i detta fall alla andra domänresurser från den nya datorn. Globala grupper från kontodomänen görs inte till medlemmar av lokala grupper i resursdomänen Om man jämför domänkoppling med att göra en Windows NTdator till medlem i en domän finns det (minst) en olikhet. Den stora skillnaden är att när man kopplar samman domäner sker ingen förändring vad gäller medlemskap i lokala grupper på Windows NT-datorer i resursdomänen. Du minns säkert att när en Windows NT-dator blir medlem i en Windows NT-domän görs domänens inbyggda globala grupper Domänadministratörer//Domain Admins, Domänanvändare//Domain Users och Domängäster//Domain Guests till medlemmar av de lokala grupperna Administratörer//Administrators, Användare//Users och Gäster//Guests på den nyblivna medlemsdatorn. Resurser på en nybliven domänmedlem blir genast tillgängliga Alla resurser, på den nyblivna domändatorn, som delats ut till någon av de lokala grupperna Administratörer//Administrators, Användare//Users och Gäster//Guests blir omedelbart tillgängliga 390
Båda domänerna har något värdefullt för alla användare vars konto är med i en eller flera av grupperna Domänadministratörer//Domain Admins, Domänanvändare//Domain Users och Domängäster//Domain Guests. En omedelbar effekt är att alla administratörer, de som har konton i Domänadministratörer//Domain Admins, nu också kan administrera den nyblivna domändatorn (eftersom deras globala grupp gjorts till medlem av Administratörer//Administrators). Resurser i kopplad domän måste uttryckligen göras tillgängliga Eftersom det inte sker någon förändring av gruppmedlemskap när man kopplar samman domäner blir inga befintliga resurser omedelbart tillgängliga för kontodomänens användare. Kontodomänens administratörer tilldelas inte heller några som helst privilegier i resursdomänen enbart genom att koppla samman domänerna. När väl domänerna är sammankopplade rören är dragna har man möjlighet att ge användare och administratörer i kontodomänen lika omfattande privilegier i resursdomänen som i deras egen hemmadomän. Båda domänerna har något värdefullt Handgreppen för att koppla ihop två domäner börjar alltid i kontodomänen, för att avslutas i resursdomänen. Vi börjar alltså med att tillverka rörets/pilens spets, sedan fäster vi basen på röret/pilen. Detta kan synas en smula bakvänt, eftersom resursdomänen endast skall bjuda på sina resurser. Förklaringen är att kontodomänen har en kontodatabas som man är mycket försiktig med, man vill inte att obehöriga skall kunna studera innehållet i den egna kontodatabasen. Inom en Windows NT-domän har alla användare (oavsett gruppmedlemskap) möjlighet att studera domänens kontodatabas avseende domänens användarkonton och globala grupper. När domäner kopplas ihop kan även alla användare i resursdomänen studera kontodomänens kontodatabas avseende användarkonton och globala grupper. Kunde domänkopplingar upprättas utan kontodomänens medverkan vore det lätt för vem som helst att ge sig själv tillgång till en domäns användarkontolista och lista över globala grupper. Förmodligen är gruppnamn och gruppkom- 391
12 Sammankopplade domäner//trusts mentarer av sådan natur att man kan lista ut en hel del om vad en organisation sysslar med utifrån dem. I användarkontolistan kan vi söka efter kända namn och se om de är anställda på företaget, vi kanske känner igen ett konsultnamn och får värdefull konkurrentinformation med andra ord: användarkontolistan och listan över globala grupper skall man inte låta vem som helst studera. Användarkontolistan och de globala grupperna är mycket lika en personallista vi brukar vara en smula försiktiga med vem som har tillgång till personallistan. I resursdomänen är man lika angelägen att ingen utanför den egna domänen olovandes kan utnyttja domänens resurser. Det behövs ingen livlig fantasi för att föreställa sig vad som skulle kunna hända om en datorbuse skaffar sig tillgång till filer på våra datorer. Om vi för en kort stund vänder tillbaka till Windows NT-datorn som görs till domänmedlem minns du säkert att det finns två sätt att åstadkomma detta. Det ena sättet är att först tillverka ett datorkonto i kontodatabasen på den primära domänkontrollanten. När detta är gjort kan en administratör ange Windows NT-domänens namn på den blivande domänmedlemmen så att medlemskapet fullbordas. Nästan samma sak sker när vi kopplar domäner till varandra. Det hela börjar med att administratörerna i kontodomänen tillverkar ett konto för resursdomänen i kontodatabasen på kontodomänens primära domänkontrollant. Därefter anger administratörer i resursdomänen kontodomänens namn (och lösenord för domänkopplingen) på resursdomänens primära domänkontrollant. Windows NT-dator blir medlem av domän Resursdomän kopplas till kontodomän 1. Administratörer upprättar Administratörer på kontodomänen ett datorkonto i domänens upprättar ett domänkonto för resurskontodatabas. Datorkontots domänen i kontodomänens kontonamn är samma som dator- kontodatabas. Domänkontots namn är namnet med ett dollartecken samma som domännamnet med ett efter, ex. draupner$. dollartecken efter, ex. utgard$. 2. Administratören går till En administratör i resursdomänen Windows NT-datorn och anger kontodomänens namn (och anger domänens namn för domänkopplingens lösenord) på att fullborda domänmed- resursdomänens primära domän- 392
Det är skillnad på att ha möjlighet att använda och att verkligen ges tillgång till en resurs lemskapet. kontrollant. 3. Lösenordet för Windows Lösenordet för resursdomänen om- NT-datorn omförhandlas förhandlas med jämna mellanrum. med jämna mellanrum. När väl en Windows NT-dator är medlem av en domän och skall använda domänens kontodatabas upprättas en secure channel mellan Windows NT-datorn och en domänkontrollant. Det samma sker mellan sammankopplade domäner. Jag lovar att visa listan, hela listan och inget annat än Med diskussionen ovan i färskt minne passar jag på att framföra kritik mot att användarkontolistan och listan över globala grupper är så lättillgänglig. Som administratör vill jag kunna styra vilka konton och globala grupper som får synas i en, med min domän, sammankopplad domän. Denna möjlighet vill jag även ha i min egen domän jag har svårt att förstå varför användarkontolistan och listan över globala grupper skall vara allmän egendom. Förhoppningsvis kommer Microsoft att ändra detta. Det är skillnad på att ha möjlighet att använda och att verkligen ges tillgång till en resurs En domänkoppling innebär i sig inte att användare i kontodomänen kan börja bruka resurser i eller logga in på datorer i resursdomänen. Administratörer måste, liksom för alla andra användare, styra gruppmedlemskap, åsätta användarrättigheter och dela ut resurser för att användarna i kontodomänen verkligen skall kunna komma åt resurserna. Detta är naturligtvis anledningen till att Microsoft gjort upprättandet av domänkopplingen så att globala grupper från kontodomänen inte görs till medlemmar av lokala grupper i resursdomänen. Det finns många bilder som kan hjälpa i förståelsen av det ovan sagda. En närliggande är när vi skall ta körkort och övningskör. Privatister, som inte har en dubbelkommando i bilen, har möjlighet att köra på alla vägar. De har dock inte tillåtelse att använda motorvägar. Det är klart på samma sätt som nätbusar försöker bryta sig in i våra datornät med stulna lösenord och andra metoder finns det kanske privatister som tar sig friheten att övningsköra på motorväg. 393
12 Sammankopplade domäner//trusts Om vi fortsätter jämförelsen med rörpost är det ju en sak att bygga en rörpostanläggning och en annan att använda den för att verkligen skicka rörpost. Liksom en rörpostledning är en domänkoppling enkelriktad och tillåter endast trafik i ena riktningen (det är inte fysiskt möjligt att ha trafik i den andra riktningen, det går ju inte heller att skicka rörpost genom samma rör från två håll samtidigt). Hur ser det ut före domänkopplingen Innan vi kopplar samman domänerna skall vi ta ett steg tillbaka och se hur det ser ut om det finns flera Windows NT-domäner som inte är sammankopplade. I bilden nedan finns vår egen Windows NT-dator i domänen Midgard. Vi vill studera utdelade resurser på datorn Skoll som vi vet finns i domänen Asgard. Vi har öppnat Nätverket//Network Neighbourhood, dubbelklickat på Hela nätverket//entire Network och sist på Microsoft Windows Network: Nätverket//Network Neighbourhood med fyra arbetsgrupper/windows NT-domäner. Vi går vidare och öppnar domänen Asgard: Windows NT-domänen Asgard med dess datorer. Skulle vi nu gå vidare och försöka lista de utdelade resurserna 394
Hur ser det ut före domänkopplingen på datorn Skoll visas en dialogruta: Meddelande när man försöker lista resurser på en annan domäns Windows NT-datorer. Nu kan vi ju faktiskt skriva in ett användarnamn och lösenord om vi känner till något användarkonto, med tillhörande lösenord, i den andra domänen. Man ser alltid alla arbetsgrupper, domäner och servrar Windows NT (tillsammans med Windows for Workgroups och Windows 95) innehåller en funktion som gör det väldigt bekvämt och enkelt att använda nätverket med de datorer som använder ett av dessa operativsystem. I Windows NT är det tjänsten Computer Browser som ansvarar för att tillhandahålla listor över arbetsgrupper, domäner och servrar i nätverket. (Läs om domänoch serverlistorna i föregående kapitel.) Man ser aldrig utdelade resurser Det viktiga här är vi inte kan lista resurser på en dator i en annan Windows NT-domän. Men, skulle det vara så att det finns ett användarkonto i den andra domänen med samma namn som mitt eget och med samma lösenord kommer inte meddelandet ovan att synas den andra domänens Windows NT-datorer kommer snällt att låta mig studera deras utdelade resurser. Detta beteende är ett av de underligare i Windows NT-domäner. Windows NT-datorer i datorarbetsgrupper uppför sig precis på detta sätt, men jag trodde att domännamnet är viktigt i en domän. Dessutom, om man studerar de nätverkspaket som skickas vid inloggning ser man att namnet på domänen alltid följer med vid inloggning så det borde ha varit en smal sak för Microsoft att använda sig av det. Man ser heller aldrig en annan domäns användarkonto- och 395
12 Sammankopplade domäner//trusts grupplista Vi har inte heller någon möjlighet att studera användarkontolistan, vi kan ju prova genom att ändra delningsbehörigheterna för en av våra egna resurser. Det finns ingen möjlighet att ange domännamnet, inte heller genom att vi anger namnet på domänens primära domänkontrollant. Domänlistan innehåller endast namnet på den egna domänen det finns inte möjlighet att själv skriva dit ett annat domännamn. Ett exempel på sammankopplade domäner Låt oss koppla ihop de båda Windows NT-domänerna Utgard och Midgard. Vi önskar se till att användare i Midgard kan utnyttja resurser i domänen Utgard. Den domänkoppling vi upprättar skall alltså ha riktning från Utgard till Midgard: Resursdomänen Utgard kopplad till kontodomänen Midgard. Börja i rörmynningen Administratörerna i Midgard börjar med att bjuda in Utgard till samarbetet. Denna inbjudan skriver man i Kontohanteraren för domäner//user Manager for Domains. Menyvalet heter Principer.Förtroenden//Policies.Trust Relationships: 396
Ett exempel på sammankopplade domäner Domänkopplingen börjar tillverkas i resursdomänen (på dess primära domänkontrollant). Administratören trycker på den undre knappen med texten Lägg till//add (varför Microsoft valt denna konstiga ordning för knapparna och listorna i dialogrutan kan ingen vettig människa förstå): Dialogrutan Lägg till domän med förtroende för denna domän//add Trusting Domain. 397
12 Sammankopplade domäner//trusts Som du ser har vi här möjlighet att ange ett lösenord. Lösenordet skall sedan anges av administratörerna i domänen Utgard (resursdomänen) för att de skall kunna slutföra domänkopplingen. När domännamnet och lösenordet är bestämt trycker man på OK varpå dialogrutan Trust Relationships ser ut så här: Dialogrutan Förtroenden//Trust Relationships med en halv domänkoppling. Nu har vi alltså tillverkat rörmynningen: Halv domänkoppling mellan Utgard och Midgard. Sätt rörkroppen på rörmynningen Administratörerna i Utgard startar också Kontohanteraren för domäner//user Manager for Domains. Menyvalet är naturligtvis även nu Principer.Förtroenden//Policies.Trust Relationships. De godtar inbjudan till samarbete genom att lägga till domänen Midgard i listan över kontodomäner (betrodda domäner//trusted domains). 398
Ett exempel på sammankopplade domäner Dialogrutan Förtroende//Trust Relationships i domänen Utgard, utan domänkopplingar. Dialogrutan Lägg till betrodd domän//add Trusted Domain med namnet på kontodomänen och lösenordet inskrivna. Med detta färdigt har vi upprättat domänkopplingen mellan resursdomänen Utgard och kontodomänen Midgard: Dialogrutan Förtroende//Trust Relationships i domänen Utgard efter domänkoppling till Midgard. 399
12 Sammankopplade domäner//trusts Vi har alltså satt rörkroppen på rörmynningen och har en färdig domänkoppling. Resursdomänen Utgard kopplad till kontodomänen Midgard. Känna igen en domänkoppling Vill du ta reda på om det finns domänkopplingar börjar du alltid med Kontohanteraren för domäner//user Manager for Domains. Kom ihåg att varje Kontohanteraren för domäner//user Manager for Domains endast kan visa sin egen del av domänkopplingen. Du måste studera två primära domänkontrollanter: resursdomänens och kontodomänens. Samlingsbild av domänkopplingar. 400
Synlig inverkan av domänkopplingen Domänkopplingen i bilden ovan som den ser ut i Konthanteraren//User Manager for Domains i de båda domänerna. Synlig inverkan av domänkopplingen Kontodomänens användare kan nu lista resurser i resursdomänen, men vad kan resursdomänens användare göra? Jag sade redan tidigare att de inte vunnit något med domänkopplingen. Båda domänerna är alltid inblandade När en domänkoppling skall upprättas är alltid administratörer i båda domänerna inblandade och man måste göra de olika stegen på de båda primära domänkontrollanterna. Sist i kapitlet kommer du att få se hur du kan göra om du har tillgång till namn och lösenord för administratörskonton i båda domänerna. En bildlig förklaring av domänkopplingar Det kan synas något svårt att förstå de benämningar som används i Windows NT (förtroende//trusts, o.s.v.), de flesta förklaringar jag sett når på sin höjd halvvägs. Semestrande Sanne och surfande Siv Låt oss pröva några olika bilder. Man kan se en domänkoppling/förtroendelänk som en förhandling mellan två personer, låt oss kalla dem Sanne och Siv. Sanne har en dator i sin lägenhet och hon skall snart resa bort. Hon kan tänka sig att låta Siv få låna en lägenhetsnyckel så att hon kan använda datorn för att surfa på webben. Eftersom Sanne och Siv inte bott grannar så 401
12 Sammankopplade domäner//trusts värst länge ber Sanne först att få skriva av personuppgifterna från Sivs körkort. Siv, som inte tycker om att hennes personuppgifter valsar runt på sta n, tvekar först. När de båda bestämt sig för att försöka, utspelar sig följande lilla förhandling: Sanne, här är mitt körkort! Sanne tar emot körkortet och skriver av uppgifterna. Tack Siv, här är min lägenhetsnyckel! Siv tar emot lägenhetsnyckeln, vinkar av Sanne och surfar sedan lyckligen i fjorton dagar. Nästa gång Sanne får sin telefonräkning inser hon att hon borde försökt begränsa Sivs privilegier nästa gång blir det spärr på telefonen, tänker hon. Sporthallen och grannföretaget En annan, mer omfattande, bild är om vi jämför resursdomänen med en motionshall och kontodomänen med ett företag i närheten av denna motionshall. Ägarinnan av motionshallen får en dag en fråga från företaget om de anställda skulle kunna få utnyttja motionshallen. Hon funderar litet och svarar att det går bra, men då vill jag skicka ett erbjudande till alla era anställda om att få utnyttja motionshallen. Efter en viss tvekan, man vill ju inte lämna ut personallistor till vem som helst, bestämmer man sig på företaget för att man nog gärna vill låta sina anställda använda motionshallen i alla fall. Man skriver ut personallistan och skickar den i rekommenderat brev till motionshallsägarinnan. Denna, å sin sida, använder personallistan för att skicka ett erbjudande till företagets samtliga anställda. Alla anställda får dock inte samma erbjudande en del anställda får erbjudande om cirkelträning, andra erbjuds solarium som en extra förmån, företagsledningen får dessutom gratis sportdryck. Senare, när de anställda verkligen vill utnyttja motionshallen kommer ägarinnan stå i entrén och kontrollera deras nyckelkort från företaget. Hon ser också till att företagsledningen får sin sportdryck och motar även bort en del anställda från solariet. Det är alltså skillnad mellan att bjuda in, godta inbjudan, verkligen komma till motionshallen och ges tillgång till olika erbjudanden. Den rekommenderade grupphanteringsmodellen hur användare 402
Den rekommenderade grupphanteringsmodellen hur användare kommer åt resurser i sammankopplade domäner kommer åt resurser i sammankopplade domäner När domäner väl är sammankopplade är det möjligt att ge användare i kontodomänen tillgång till resurser i resursdomänen. Enligt den rekommenderade grupphanteringsmodellen (se kapitel 8) använder vi enbart globala grupper för att tilldela behörighet till utdelade resurser. Globala grupper används dessutom för att tilldela vissa användarrättigheter. Användare i kontodomänen ges tillgång till utdelade resurser på servrar i resursdomänen genom att globala grupper i kontodomänen tilldelas behörighet (behörighet för användare i resursdomänen visas inte i bilden). Ge användare i kontodomänen möjlighet att använda servrar i resursdomänen användarrättigheter För att användare i kontodomänen skall kunna använda servrar i resursdomänen måste de ha den grundläggande användarrättigheten Åtkomst till den här datorn från nätverket//access this computer from network. Först när de tilldelats den har de överhuvud någon chans att komma åt resurser på servern (det spelar ingen roll om de förekommer i behörighetslistor). Vi skulle kunna nöja oss med att endast ge kontodomänens användare denna användarrättighet enbart på de Windows NTdatorer de just nu behöver komma åt, men det kan vara en liten fördel att göra det på samtliga resursbärande servrar i ett svep. Administratören i resursdomänen använder på vanligt sätt 403
12 Sammankopplade domäner//trusts Kontohanteraren för domäner//user Manager for Domains för att tilldela grupper användarrättigheter. Detta görs en gång per kontodatabas, d.v.s. på PDC:n och på var och en av alla fristående servrar i resursdomänen. För att ge användare i kontodomänen grundläggande möjlighet att använda servrar i resursdomänen måste de tilldelas användarrättigheten Åtkomst till den här datorn från nätverket//access this computer from network i samtliga kontodatabaser på resursbärande Windows NT-datorer i resursdomänen. Använd Kontohanteraren för domäner//user Manager for Domains för tilldelning av användarrättigheter Här nedan gås igenom hur du gör för att ge den globala gruppen Domänanvändare//Domain Users i kontodomänen grundläggande tillgång till alla resursbärande Windows NT-datorer i resursdomänen. 1. Starta Kontohanteraren för domäner//user Manager for Domains på någon dator i resursdomänen. Om användare i kontodomänen skall ges tillgång till domänkontrollanterna fortsätter du med nästa punkt, annars med punkt 7. 2. Välj Rättigheter//User Rights i menyn Principer//Policies. 3. I den dialogruta som nu visas väljer du användarrättigheten Åtkomst till den här datorn från nätverket//access this computer from network i kombilistan Rättighet//Right: 404