– vertrouwensrelaties in Active Directory maken de paden voor verificatie. Ze worden gebruikt om Active Directory-domeinen aan elkaar te koppelen en ook Active Directory-domeinen aan niet-Microsoft-systemen te koppelen.Demonstratie 08: 56om middelen tussen twee domeinen te delen, moet er een trust of trusts zijn die de twee domeinen verbinden. Vertrouwensrelaties bieden geen toegang, ze creëren alleen een pad naar de bestemming. Denk aan trusts zoals wegen: als u naar een huis moet en er is een weg tussen u en het huis, kunt u naar de bestemming rijden. Als het huis op slot is, kom je er alleen in als je de sleutel hebt. Hetzelfde geldt voor vertrouwensrelaties: u hebt het pad naar de bron via een vertrouwensrelatie en de machtiging nodig om toegang te krijgen tot de bron.Trust richting (een-weg of twee)Trusts kunnen een-weg of twee-weg. Als de vertrouwensrelatie tweerichtingsverkeer is, kan het domein aan beide zijden toegang krijgen tot de andere kant. Als de vertrouwensrelatie eenrichtingsverkeer is, is de terminologie die wordt gebruikt om de vertrouwensrelatie te beschrijven meestal ” domein a trusts domein B.”Dit betekent dat domein A het vertrouwende domein is en domein B het vertrouwde domein zal zijn. Als een gebruiker in een bepaald domein toegang wil hebben tot een bron in een ander domein, moet de gebruiker zich in het vertrouwde domein bevinden.Transitieve vertrouwenssa transitieve vertrouwensrelatie is wanneer een vertrouwensrelatie kan worden uitgebreid buiten de twee domeinen waarin deze is gemaakt. Een domein dat via een transitieve vertrouwensrelatie is verbonden, heeft dus toegang tot elk ander domein wanneer er een pad is van transitieve vertrouwensrelaties tussen dat domein en het doeldomein.Niet-transitieve trustA niet-transitieve trust is een trust die niet verder gaat dan de domeinen waarmee het is gemaakt. Als domein A is verbonden met domein B en domein B met domein C is verbonden met niet-transitieve vertrouwensrelaties, zou het volgende gebeuren. Domein A en domein B zouden elkaar kunnen benaderen. Domein B kan toegang krijgen tot domein C. domein A kan echter geen toegang krijgen tot domein C. Ook al zijn de domeinen indirect verbonden, aangezien de vertrouwensrelatie niet-transitief is, stopt de verbinding zodra het domein B. om te kunnen communiceren met domein A en domein C met behulp van niet-transitief vertrouwen, moet u een andere vertrouwensrelatie creëren tussen domein A en domein C. Denk aan het als het hebben van twee bussen te vangen om naar uw bestemming, maar alleen met een bus ticket. Transitieve en niet-transitieve trusts zullen samenwerken. Bij het gebruik van beide, de route door het netwerk zal gewoon stoppen zodra een niet-transitieve vertrouwen is gereisd.Ouder-onderliggend vertrouwen wanneer u een dochterdomein maakt, wordt automatisch een transitieve vertrouwensrelatie gemaakt tussen het ouder-en dochterdomein dat transitief is.Tree Trust wanneer u een nieuwe boomstructuur in het forest maakt, wordt automatisch een tree trust gemaakt tussen het hoofddomein (het eerste domein dat in het forest wordt gemaakt) en de nieuwe boomstructuur. Elke nieuwe boom zal een tree trust hebben gemaakt tussen die boom en het hoofddomein. Deze vertrouwensrelaties zijn transitief en zijn in wezen dezelfde als de transitieve vertrouwensrelaties die ouder-en dochterdomeinen koppelen.Shortcut trustsIf u twee domeinen hebt die regelmatig met elkaar communiceren, kunt u een shortcut trust maken. Dit is hetzelfde als een transitieve vertrouwensrelatie, maar wordt handmatig gemaakt door een beheerder om het aantal vertrouwensrelaties te verminderen dat een gebruiker nodig heeft om van het ene domein naar het andere te reizen.Forest trustA forest trust koppelt twee Active Directory-forests aan elkaar. Deze worden handmatig gemaakt door een beheerder en zijn transitief. Ze werken in wezen hetzelfde als de andere trusts, behalve dat ze forests met elkaar verbinden. Om deze vertrouwensrelatie tot stand te brengen, moeten beide forests zich op het forest-functionaliteitsniveau van Windows Server 2003 of hoger bevinden.Realm TrustA realm trust wordt gebruikt om Active Directory te verbinden met Kerberos V5 realm op een niet-Windows-systeem zoals Unix. Als u een realm-vertrouwensrelatie wilt maken, moet het domein zich op het functionaliteitsniveau van Windows Server 2003 of hoger bevinden. Deze kunnen transitief of niet-transitief zijn, eenrichtingsverkeer of twee.Externe TrustAn externe trust is een oude one-way trust die wordt gebruikt om verbinding te maken met systemen zoals Windows NT4. Om ze in twee richtingen te maken, kunt u één vertrouwen in elke richting creëren. Ze zijn niet-transitief. Ze kunnen ook worden gebruikt wanneer het niet mogelijk is om een forest trust aan te maken, bijv., één of beide forest functional levels zijn niet hoog genoeg.Selectieve verificatie wanneer u een forest-vertrouwensrelatie maakt, kunt u selectieve of forest-brede verificatie gebruiken. Bepaalde bronnen op het netwerk staan open voor iedereen. Deze omvatten verificatie van een domeincontroller. Als u selectieve authenticatie gebruikt, moet u opgeven tot welke bronnen de gebruikers toegang hebben. Dit geeft de beheerder veel meer controle. Deze instelling moet worden gebruikt bij het maken van een forestvertrouwensrelatie tussen uw bedrijf en een extern bedrijf.Sid FilteringUser accounts hebben een gebied in hen genaamd Sid geschiedenis. Wanneer een gebruikersaccount van het ene domein naar het andere wordt gemigreerd, bevat de Sid-geschiedenis de Sid van het oude domein. Het gebruik van Sid geschiedenis betekent dat de gebruiker toegang heeft tot bronnen wanneer permissies zijn gedefinieerd met behulp van de oude Sid. Windows Server 2003 en hoger zal Sid geschiedenis verwijderen wanneer je over een vertrouwensrelatie reist. Dit wordt gedaan om veiligheidsredenen en kan worden uitgeschakeld.Demonstratieom wijzigingen aan vertrouwensrelaties in Active Directory aan te brengen, opent u Active Directory-domein en vertrouwensrelaties vanuit beheerprogramma ‘ s. Dit toont alle domeinen in het forest en ook alle vertrouwensrelaties voor die domeinen, handmatig gemaakte vertrouwensrelaties of automatisch gemaakte vertrouwensrelaties. Als u een nieuwe vertrouwensrelatie wilt maken, opent u de eigenschappen voor een van de domeinen en selecteert u het tabblad vertrouwensrelaties.”Aan de onderkant van het tabblad vertrouwen selecteert u de optie,” Nieuwe vertrouwen, ” om de wizard vertrouwen te starten.De vertrouwenswizard detecteert in de meeste gevallen het type vertrouwensrelatie dat u wilt. Als het er niet in slaagt om de andere kant te detecteren, kan er een DNS-probleem of firewall probleem. In dit geval kunt u handmatig selecteren welke vertrouwensrelatie u wilt maken. Om het vertrouwen aan de andere kant te creëren, wordt u gevraagd om een gebruikersnaam en wachtwoord. Als u dit niet hebt, moet een beheerder aan de andere kant de wizard aan de andere kant uitvoeren. In sommige gevallen moet een gedeeld wachtwoord worden overeengekomen en aan elke kant worden ingevoerd om de vertrouwensrelatie te creëren.Als u een forestvertrouwensrelatie maakt met selectieve verificatie, kunnen gebruikers die over deze forestvertrouwensrelatie reizen, zich standaard niet aanmelden bij een domeincontroller. Om ze in staat te stellen zich te authenticeren, moeten ze machtigingen krijgen. Open hiervoor “Active Directory-gebruikers en Computers”.”Voor de optie om te verschijnen moet je naar “view” en zorg ervoor dat “advanced features” is ingeschakeld. Als u toegang wilt inschakelen, opent u de beveiliging voor de domeincontroller en zorgt u ervoor dat de gebruiker de toestemming “toegestaan om te verifiëren” heeft.”
Leave a Reply