Сценарии прав пользователей в Active Directory
Сценарии прав пользователей в Active Directory
- Если для предоставления прав пользователей к опубликованным приложениям вы используете универсальные группы, то все серверы, выполняющие это приложение (если вы используете Citrix Load Manager для распределения нагрузки) должны находиться в домене Active Directory.
- Если для предоставления прав пользователей к опубликованным приложениям вы используете доменную локальную группу, все серверы должны принадлежать одному и тому же домену. Кроме того, доменная локальная группа должна находиться в первичном домене на всех серверах, включенных в балансирование нагрузки.
- Если пользователь является членом доменной локальной группы, группа находится в метке безопасности пользователя только в том случае, когда пользователь регистрируется на машине в том же домене, что и доменная локальная группа. Доверительная маршрутизация не гарантирует, что запрос на регистрацию пользователя будет направлен на сервер в том домене, в котором находится доменная локальная группа.
В следующей таблице показано, как сетевая конфигурация затрагивает права пользователей в Active Directory.
Program Neighborhood Filtering |
Аутентификация к опубликованным приложениям | Аутентификация в Citrix Management Cosole | |
Доменные глобальные группы |
Не оказывает вредного эффекта | Не оказывает вредного эффекта | Не оказывает вредного эффекта |
Доменные локальные группы. |
Рекомендации: Все серверы фермы должны принадлежать одному домену. Обоснование: Если пользователь является членом локального домена, группа представлена в метке безпасности только при регистрации пользователя на машине, находящейся в том же домене, что и локальная группа. Доверительная маршуртизация не гарантирует правильное перенаправление запроса о ргистрации. Она гарантирует только то, что запрос будет обработан сервером домена, имеющие доверительные отношения с доменом пользователя. |
Рекомендации: Все серверы, исползующие балансирование нагрузки, должны находиться в одном домене, если локальной группе разрешено использовать приложение. Обоснование: Доменные локальные группы, назначенные приложениям, должны быть из первичного домена всех серверов, включенных в балансировку нагрузки. При публикации приложения доменные локальные группы видны в списке при условии соблюдения первого условия. Если опубликованное приложение имеет пользователей ихз любой локальной доменной группы, и вы добавляете сервер из другого домена, доменные локальные группы удаляются из списка пользователей, поскольку все серверы должны иметь возможность проверить любые права пользователей на запуск приложения. |
Рекомендации: Если пользователь является администратром Citrix только благодаря принадлежности локальной доменной группе, пользователь должен подключаться к консоли сервера в том же домене, что и локальная доменная группа. Обоснование: |
Универсальные группы |
Рекомендации: Домены в лесу, не входящие в Active Directory, имеют явные доверительные отношения с доменами Обоснование: Домены, отличные от Active Directory не знают о наличии универсальных групп и контроллеры доменов исключат универсальные группы из меток безопасности пользователя. В результате приложения могут не появиться в Program Neighborhood. |
Рекомендации: |
Рекомендации: Если пользователь проверяется в консоли и является членом администратором Citrix только благодаря членству в универсальной группе, консоль должна обратиться к серверу, входящему в домен Active Directory. Обоснование: Контроллеры доменов, отличные от Active Directory, и домены вне дерева универсальной группы не содержат информации об универсальной группе. |