Руководство администратора Citrix MetaFrame Feature Release 2

Права пользователей в Active Directory


  • Если для предоставления прав пользователей к опубликованным приложениям вы используете универсальные группы, то все серверы, выполняющие это приложение (если вы используете Citrix Load Manager для распределения нагрузки) должны находиться в домене Active Directory.

  • Если для предоставления прав пользователей к опубликованным приложениям вы используете доменную локальную группу, все серверы должны принадлежать одному и тому же домену. Кроме того, доменная локальная группа должна находиться в первичном домене на всех серверах, включенных в балансирование нагрузки.

  • Если пользователь является членом доменной локальной группы, группа находится в метке безопасности пользователя только в том случае, когда пользователь регистрируется на машине в том же домене, что и доменная локальная группа. Доверительная маршрутизация не гарантирует, что запрос на регистрацию пользователя будет направлен на сервер в том домене, в котором находится доменная локальная группа.

    В следующей таблице показано, как сетевая конфигурация затрагивает права пользователей в Active Directory.



    Program Neighborhood

    Filtering

    		 Аутентификация к опубликованным приложениям Аутентификация в Citrix Management Cosole
    Доменные глобальные

    группы

    		 Не оказывает вредного эффекта Не оказывает вредного эффекта Не оказывает вредного эффекта
    Доменные локальные

    группы.

    		 Рекомендации:

    Все серверы фермы должны принадлежать одному домену.

    Обоснование:

    Если пользователь является членом локального домена, группа представлена в метке безпасности только при регистрации пользователя на машине, находящейся в том же домене, что и локальная группа. Доверительная маршуртизация не гарантирует правильное перенаправление запроса о ргистрации. Она гарантирует только то, что запрос будет обработан сервером домена, имеющие доверительные отношения с доменом пользователя.

    		 Рекомендации:

    Все серверы, исползующие балансирование нагрузки, должны находиться в одном домене, если локальной группе разрешено использовать приложение.

    Обоснование:

    Доменные локальные группы, назначенные приложениям, должны быть из первичного домена всех серверов, включенных в балансировку нагрузки. При публикации приложения доменные локальные группы видны в списке при условии соблюдения первого условия.

    Если опубликованное приложение имеет пользователей ихз любой локальной доменной группы, и вы добавляете сервер из другого домена, доменные локальные группы удаляются из списка пользователей, поскольку все серверы должны иметь возможность проверить любые права пользователей на запуск приложения.

    		 Рекомендации:

    Если пользователь является администратром Citrix только благодаря принадлежности локальной доменной группе, пользователь должен подключаться к консоли сервера в том же домене, что и локальная доменная группа.

    Обоснование:

    Если пользователь подключается к консоли сервера, находящемся в другом домене, чем локальная доменная группа, ему запрещается доступ, поскольку локальная доменная группа не имеет метки безопасности пользователя.
    Универсальные

    группы

    		Рекомендации:

    Домены в лесу, не входящие в Active Directory, имеют явные доверительные отношения с доменами

    Обоснование:

    Домены, отличные от Active Directory не знают о наличии универсальных групп и контроллеры доменов исключат универсальные группы из меток безопасности пользователя. В результате приложения могут не появиться в Program Neighborhood.

    		 Рекомендации:

    Если приложению назначена универсальная гурппа, все серверы, обслуживающие эжто приложение, должны находиться в домене Active Directory

    Обоснование:

    Сервер в домене, отличном от Active Directory, должен аутентифицировать пользователя. В этом случае универсальные группы отсутствуют в метке безопасности пользователя и пользователю запрещается доступ.

    Для сервера в домене, отличном от Active Directory, возможно применение балансировки нагрузки, если между доменами установены явные доверительные отношения.

    		Рекомендации:

    Если пользователь проверяется в консоли и является членом администратором Citrix только благодаря членству в универсальной группе, консоль должна обратиться к серверу, входящему в домен Active Directory.

    Обоснование:

    Контроллеры доменов, отличные от Active Directory, и домены вне дерева универсальной группы не содержат информации об универсальной группе.



    Содержание раздела