Trusts in Active Directory erstellen die Pfade für die Authentifizierung. Sie werden verwendet, um Active Directory-Domänen miteinander und auch Active Directory-Domänen mit Nicht-Microsoft-Systemen zu verknüpfen.Demonstration 08:56Um Ressourcen zwischen zwei Domänen zu teilen, muss es eine Vertrauensstellung(en) geben, die die beiden Domänen verbindet. Trusts bieten keinen Zugriff, sie erstellen nur einen Pfad zum Ziel. Denken Sie an Trusts wie Straßen: wenn Sie zu einem Haus gelangen müssen und es eine Straße zwischen Ihnen und dem Haus gibt, können Sie zum Ziel fahren. Wenn das Haus verschlossen ist, können Sie nur hinein, wenn Sie den Schlüssel haben. Gleiches gilt für Vertrauensstellungen: Sie benötigen den Pfad zur Ressource über eine Vertrauensstellung und die Berechtigung, auf die Ressource zuzugreifen.Vertrauen Richtung (One-way oder zwei)Trusts können One-way oder two-way sein. Wenn die Vertrauensstellung bidirektional ist, kann die Domäne auf beiden Seiten auf die andere Seite zugreifen. Wenn die Vertrauensstellung in eine Richtung erfolgt, lautet die zur Beschreibung der Vertrauensstellung verwendete Terminologie normalerweise “Domäne A vertraut Domäne B.” Dies bedeutet, dass Domäne A die vertrauenswürdige Domäne und Domäne B die vertrauenswürdige Domäne ist. Damit ein Benutzer in einer bestimmten Domäne auf eine Ressource in einer anderen Domäne zugreifen kann, muss er sich in der vertrauenswürdigen Domäne befinden.Transitives Vertrauen ist, wenn ein Vertrauen außerhalb der beiden Domänen, in denen es erstellt wurde, erweitert werden kann. Eine über eine transitive Vertrauensstellung verbundene Domäne kann somit auf jede andere Domäne zugreifen, wenn zwischen dieser Domäne und der Zieldomäne ein Pfad transitiver Vertrauensstellungen besteht.Nicht-transitives Vertrauen Ein nicht-transitives Vertrauen ist ein Vertrauen, das nicht über die Domänen hinausgeht, mit denen es erstellt wurde. Wenn Domäne A mit Domäne B und Domäne B mit Domäne C über nicht transitive Vertrauensstellungen verbunden wäre, würde Folgendes auftreten. Domäne A und Domäne B können aufeinander zugreifen. Domäne B konnte auf Domäne C zugreifen. Domäne A konnte jedoch nicht auf Domäne C zugreifen. Obwohl die Domänen indirekt verbunden sind, wird die Verbindung unterbrochen, sobald die Vertrauensstellung nicht transitiv ist, sobald sie zu Domäne B gelangt. Damit Domäne A und Domäne C über eine nicht transitive Vertrauensstellung kommunizieren können, müssen Sie eine weitere Vertrauensstellung zwischen Domäne A und Domäne C erstellen. Stellen Sie sich das so vor, als müssten Sie zwei Busse nehmen, um an Ihr Ziel zu gelangen, aber nur ein Busticket haben. Transitive und nicht-transitive Trusts arbeiten zusammen. Wenn Sie beide verwenden, stoppt der Pfad durch das Netzwerk einfach, sobald ein nicht transitives Vertrauen durchlaufen wird.Wenn Sie eine untergeordnete Domäne erstellen, wird automatisch eine transitive Vertrauensstellung zwischen der übergeordneten und der untergeordneten Domäne erstellt, die transitiv ist.Wenn Sie eine neue Struktur in der Gesamtstruktur erstellen, wird automatisch eine Strukturvertrauensstellung zwischen der Stammdomäne (der ersten in der Gesamtstruktur erstellten Domäne) und der neuen Struktur erstellt. Für jede neue Struktur wird eine Baumvertrauensstellung zwischen dieser Struktur und der Stammdomäne erstellt. Diese Vertrauensstellungen sind transitiv und entsprechen im Wesentlichen den transitiven Vertrauensstellungen, die übergeordnete und untergeordnete Domänen verknüpfen.Shortcut TRUSTSWENN Sie über zwei Domänen verfügen, die regelmäßig miteinander kommunizieren, können Sie eine Shortcut-Vertrauensstellung erstellen. Dies entspricht einer transitiven Vertrauensstellung, wird jedoch manuell von einem Administrator erstellt, um die Anzahl der Vertrauensstellungen zu verringern, die ein Benutzer durchlaufen muss, um von einer Domäne zur anderen zu gelangen.Forest trustA Forest Trust verbindet zwei Active Directory-Gesamtstrukturen miteinander. Diese werden manuell von einem Administrator erstellt und sind transitiv. Sie funktionieren im Wesentlichen genauso wie die anderen Trusts, außer dass sie Wälder miteinander verbinden. Um diese Vertrauensstellung zu erstellen, müssen sich beide Gesamtstrukturen auf der Windows Server 2003-Gesamtstrukturfunktionsebene oder höher befinden.Realm TrustA Realm Trust wird verwendet, um Active Directory mit Kerberos V5 Realm auf einem Nicht-Windows-System wie Unix zu verbinden. Um eine Realm-Vertrauensstellung zu erstellen, muss sich die Domäne auf der Windows Server 2003-Funktionsebene oder höher befinden. Diese können transitiv oder nicht transitiv, einweg oder zwei sein.Externes TrustAn externes Vertrauen ist ein altes Einweg-Vertrauen, das verwendet wird, um eine Verbindung zu Systemen wie Windows NT4 herzustellen. Um sie in beide Richtungen zu machen, können Sie ein Vertrauen in jede Richtung schaffen. Sie sind nicht transitiv. Sie können auch verwendet werden, wenn es nicht möglich ist, einen Forest Trust zu erstellen, z. Eine oder beide Waldfunktionsebenen sind nicht hoch genug.Selektive Authentifizierungwenn Sie eine Gesamtstrukturvertrauensstellung erstellen, haben Sie die Möglichkeit, selektive oder gesamtstrukturweite Authentifizierung zu verwenden. Bestimmte Ressourcen im Netzwerk stehen jedem offen. Dazu gehört die Authentifizierung über einen Domänencontroller. Wenn Sie die selektive Authentifizierung verwenden, müssen Sie angeben, auf welche Ressourcen die Benutzer Zugriff haben. Dies gibt dem Administrator viel mehr Kontrolle. Diese Einstellung sollte verwendet werden, wenn Sie eine Gesamtstrukturvertrauensstellung zwischen Ihrem Unternehmen und einem externen Unternehmen erstellen.Sid Filteringbenutzerkonten haben einen Bereich namens Sid History. Wenn ein Benutzerkonto von einer Domäne in eine andere migriert wird, enthält der Sid-Verlauf die Sid der alten Domäne. Die Verwendung des Sid-Verlaufs bedeutet, dass der Benutzer auf Ressourcen zugreifen kann, wenn Berechtigungen mit der alten Sid definiert wurden. Windows Server 2003 und höher entfernt den Sid-Verlauf, wenn Sie über eine Vertrauensstellung reisen. Dies geschieht aus Sicherheitsgründen und kann deaktiviert werden.DemonstrationUm Änderungen an Vertrauensstellungen in Active Directory vorzunehmen, öffnen Sie die Active Directory-Domäne und die Vertrauensstellungen in den Verwaltungstools. Dies zeigt alle Domänen in der Gesamtstruktur und auch alle Vertrauensstellungen für diese Domänen, manuell erstellte Vertrauensstellungen oder automatisch erstellte Vertrauensstellungen. Um eine neue Vertrauensstellung zu erstellen, öffnen Sie die Eigenschaften für eine der Domänen und wählen Sie die Registerkarte “Vertrauensstellungen.” Wählen Sie unten auf der Registerkarte Vertrauen die Option “Neues Vertrauen”, um den Vertrauensassistenten zu starten.Der Vertrauensstellungsassistent erkennt in den meisten Fällen den gewünschten Vertrauenstyp. Wenn die andere Seite nicht erkannt wird, liegt möglicherweise ein DNS- oder Firewall-Problem vor. In diesem Fall können Sie manuell auswählen, welches Vertrauen Sie erstellen möchten. Um das Vertrauen am anderen Ende zu schaffen, werden Sie nach einem Benutzernamen und einem Passwort gefragt. Wenn Sie dies nicht haben, muss ein Administrator auf der anderen Seite den Assistenten auf der anderen Seite ausführen. In einigen Fällen muss ein gemeinsames Passwort vereinbart und auf jeder Seite eingegeben werden, um das Vertrauen zu schaffen.Wenn Sie eine Gesamtstrukturvertrauensstellung mithilfe der selektiven Authentifizierung erstellen, können sich Benutzer, die über diese Gesamtstrukturvertrauensstellung reisen, standardmäßig nicht von einem Domänencontroller aus authentifizieren. Damit sie sich authentifizieren können, müssen ihnen Berechtigungen erteilt werden. Öffnen Sie dazu “Active Directory-Benutzer und -Computer.” Damit die Option angezeigt wird, müssen Sie zu “Ansicht” gehen und sicherstellen, dass “Erweiterte Funktionen” aktiviert ist. Um den Zugriff zu aktivieren, öffnen Sie die Sicherheit für den Domänencontroller und stellen Sie sicher, dass der Benutzer über die Berechtigung “Authentifizierung zulässig” verfügt.”
Leave a Reply