Сценарии прав пользователей в Active Directory
В следующей таблице показано, как сетевая конфигурация затрагивает права пользователей в Active Directory.
| Program Neighborhood Filtering |
Аутентификация к опубликованным приложениям | Аутентификация в Citrix Management Cosole | ||
| Доменные глобальные группы |
Не оказывает вредного эффекта | Не оказывает вредного эффекта | Не оказывает вредного эффекта | |
| Доменные локальные группы. |
Рекомендации: Все серверы фермы должны принадлежать одному домену. Обоснование: Если пользователь является членом локального домена, группа представлена в метке безпасности только при регистрации пользователя на машине, находящейся в том же домене, что и локальная группа. Доверительная маршуртизация не гарантирует правильное перенаправление запроса о ргистрации. Она гарантирует только то, что запрос будет обработан сервером домена, имеющие доверительные отношения с доменом пользователя. |
Рекомендации: Все серверы, исползующие балансирование нагрузки, должны находиться в одном домене, если локальной группе разрешено использовать приложение. Обоснование: Доменные локальные группы, назначенные приложениям, должны быть из первичного домена всех серверов, включенных в балансировку нагрузки. При публикации приложения доменные локальные группы видны в списке при условии соблюдения первого условия. Если опубликованное приложение имеет пользователей ихз любой локальной доменной группы, и вы добавляете сервер из другого домена, доменные локальные группы удаляются из списка пользователей, поскольку все серверы должны иметь возможность проверить любые права пользователей на запуск приложения. |
Рекомендации: Если пользователь является администратром Citrix только благодаря принадлежности локальной доменной группе, пользователь должен подключаться к консоли сервера в том же домене, что и локальная доменная группа. Обоснование: Если пользователь подключается к консоли сервера, находящемся в другом домене, чем локальная доменная группа, ему запрещается доступ, поскольку локальная доменная группа не имеет метки безопасности пользователя. | |
| Универсальные группы |
Рекомендации: Домены в лесу, не входящие в Active Directory, имеют явные доверительные отношения с доменами Обоснование: Домены, отличные от Active Directory не знают о наличии универсальных групп и контроллеры доменов исключат универсальные группы из меток безопасности пользователя. В результате приложения могут не появиться в Program Neighborhood. |
Рекомендации: Если приложению назначена универсальная гурппа, все серверы, обслуживающие эжто приложение, должны находиться в домене Active Directory Обоснование: Сервер в домене, отличном от Active Directory, должен аутентифицировать пользователя. В этом случае универсальные группы отсутствуют в метке безопасности пользователя и пользователю запрещается доступ. Для сервера в домене, отличном от Active Directory, возможно применение балансировки нагрузки, если между доменами установены явные доверительные отношения. | Рекомендации: Если пользователь проверяется в консоли и является членом администратором Citrix только благодаря членству в универсальной группе, консоль должна обратиться к серверу, входящему в домен Active Directory. Обоснование: Контроллеры доменов, отличные от Active Directory, и домены вне дерева универсальной группы не содержат информации об универсальной группе. |
