Trusts i Active Directory opprette veier for godkjenning skal skje. De brukes til å koble Active Directory-domener til hverandre og også koble Active Directory-domener til Ikke-Microsoft-systemer.Demonstrasjon 08:56 for å dele ressurser mellom to domener må det være en tillit eller tillit som forbinder de to domenene. Trusts gir ikke tilgang de bare oppretter en vei til destinasjonen. Tenk på tillit som veier: hvis du trenger å komme til et hus og det er en vei mellom deg og huset, kan du kjøre til destinasjonen. Hvis huset er låst, vil du ikke kunne komme inn med mindre du har nøkkelen. Det samme gjelder med klareringer: du trenger banen til ressursen via en klarering og tillatelse til å få tilgang til ressursen.Tillit retning (Enveis eller to)Tillit kan være enveis eller toveis. Hvis tilliten er toveis, kan domenet på hver side få tilgang til den andre siden. Hvis tilliten er enveis, vil terminologien som brukes til å beskrive tilliten, vanligvis være ” Domene a trusts domain B.”Dette betyr at domene A er det tillitsfulle domenet, og domene B vil være det klarerte domenet. For at en bruker i et bestemt domene skal få tilgang til en ressurs i et annet domene, må brukeren være i det klarerte domenet.Transitiv tillit er når en tillit kan utvides utenfor de to domenene der den ble opprettet. Et domene som er koblet til via en transitiv tillit, kan dermed få tilgang til et annet domene når det er en bane av transitive trusts mellom det domenet og måldomenet.Ikke-transitiv tillit er en tillit som ikke strekker seg forbi domenene den ble opprettet med. Hvis domene a var koblet til domene B og domene B koblet til domene C ved hjelp av ikke-transitive trusts, ville følgende oppstå. Domene A og Domene B vil kunne få tilgang til hverandre. Domene B kunne få tilgang til domene C. Domene A kunne imidlertid ikke få tilgang til domene C. selv om domenene er indirekte koblet, siden tilliten ikke er transitiv, vil forbindelsen stoppe når den kommer til domene B. for at domene A og domene C skal kommunisere ved hjelp av ikke-transitiv tillit, må du opprette en annen tillit Mellom domene A og domene C. Tenk på det som å måtte ta to busser for å komme til reisemålet ditt, men bare å ha en bussbillett. Transitive og ikke-transitive trusts vil fungere sammen. Når du bruker begge, vil veien gjennom nettverket bare stoppe så snart en ikke-transitiv tillit er reist over.Når du oppretter et barndomene, opprettes det automatisk en transitiv klarering mellom det overordnede og det underordnede domenet som er transitivt.Når du oppretter et nytt tre i skogen, opprettes det automatisk en klarering mellom rotdomenet (det første domenet som ble opprettet i skogen) og det nye treet. Hvert nytt tre vil ha et tre tillit opprettet mellom det treet og rotdomenet. Disse trusts er transitive og i hovedsak de samme som de transitive trusts som knytter foreldre og barn domener.Snarvei trustsIf du har to domener som kommuniserer med hverandre på en jevnlig basis kan du opprette en snarvei tillit. Dette er det samme som en transitiv tillit, men er manuelt opprettet av en administrator for å redusere antall tillit en bruker trenger å reise over for å komme fra ett domene til et annet.Forest trustA forest trust knytter To Active Directory-skoger sammen. Disse opprettes manuelt av en administrator og er transitive. De fungerer i hovedsak på samme måte som de andre trustene, bortsett fra at de forbinder skogene sammen. For å opprette denne klareringen må begge skogene være På windows Server 2003 forest functional level eller høyere.Realm TrustA realm trust brukes til å koble Active Directory Med Kerberos V5 realm på et ikke-Windows-system som Unix. Hvis du vil opprette en realm-klarering, må domenet være på Funksjonsnivå For windows Server 2003 eller høyere. Disse kan være transitive eller ikke-transitive, enveis eller to.Ekstern TrustAn ekstern tillit er en gammel enveis tillit som brukes til å koble til systemer som Windows NT4. For å gjøre dem toveis, kan du opprette en tillit i hver retning. De er ikke-transitive. De kan også brukes når det ikke er mulig å skape en skogstillit, f. eks., en eller begge skogsfunksjonsnivåene er ikke høye nok.Selektiv autentisering når du oppretter en forest trust, har du muligheten til å bruke selektiv eller skogsomfattende autentisering. Enkelte ressurser på nettverket vil være åpne for alle. Disse inkluderer godkjenning fra en domenekontroller. Hvis du bruker selektiv godkjenning, må du angi hvilke ressurser brukerne skal ha tilgang til. Dette gir administratoren mye mer kontroll. Denne innstillingen bør brukes når du oppretter en forest trust mellom firmaet ditt og et eksternt selskap.Sid FilteringUser kontoer har et område i dem kalt sid historie. Når en brukerkonto overføres fra ett domene til et annet, Inneholder sid-loggen Sid fra det gamle domenet. Bruk Av sid-historikk betyr at brukeren kan få tilgang til ressurser når tillatelser ble definert ved hjelp av den gamle Sid. Windows Server 2003 og nyere vil fjerne sid-loggen når du reiser over en klarering. Dette gjøres av sikkerhetshensyn og kan deaktiveres.Demonstrasjonå gjøre endringer i trusts i Active Directory, åpne Active Directory-Domene og Trusts fra administrative verktøy. Dette vil vise alle domenene i skogen og også eventuelle klareringer for disse domenene, manuelt opprettede klareringer eller automatisk opprettede klareringer. For å opprette en ny klarering, åpne egenskapene for ett av domenene og velg fanen ” klareringer.”Nederst i kategorien tillit velger du alternativet “ny tillit” for å starte klareringsveiviseren.Veiviseren for klarering vil i de fleste tilfeller oppdage hvilken type klarering du vil bruke. Hvis DET ikke klarer å oppdage den andre siden, kan DET være ET DNS-problem eller brannmurproblem. I dette tilfellet kan du manuelt velge hvilken tillit du vil opprette. For å skape tillit i den andre enden, vil du bli bedt om et brukernavn og passord. Hvis du ikke har dette, må en administrator på den andre siden kjøre veiviseren på den andre siden. I noen tilfeller må et delt passord avtales og legges inn på hver side for å skape tilliten.Hvis du oppretter en klarering i skogen ved hjelp av selektiv godkjenning, kan ikke brukere som reiser over denne klareringen i skogen, godkjenne fra en domenekontroller som standard. For å tillate dem å godkjenne, må de gis tillatelser. For å gjøre dette, åpne ” Active Directory-Brukere og Datamaskiner.”For at alternativet skal vises, må du gå til” vis “og sørge for at” avanserte funksjoner ” er aktivert. For å aktivere tilgang, åpne sikkerheten for domenekontrolleren og sørg for at brukeren har tillatelsen ” tillatt å godkjenne.”
Leave a Reply