Správa trustů služby Active Directory v systému Windows Server 2016

Posted on

trusty služby Active Directory lze vytvořit mezi doménami služby Active Directory a lesy služby Active Directory. Důvěra vám umožňuje udržovat vztah mezi oběma doménami, abyste zajistili přístup uživatelů k prostředkům v doménách. Všechny trusty mezi doménami v adresáři Active Directory jsou přechodné a obousměrné trusty. Není tedy třeba vytvářet důvěru mezi doménami stejného lesa služby Active Directory, ale budete muset vytvořit důvěru mezi doménami různých lesů služby Active Directory, pokud potřebujete povolit uživatelům z jedné domény přístup k prostředkům v jiné doméně v jiném lese služby Active Directory. Tento článek vysvětluje, k dispozici věřit typů v systému Windows Server 2016, a jak můžete spravovat je pomocí vestavěného nástroje, které loď při instalaci služby Active Directory na Windows Serveru 2016 počítači.

typy trustů služby Active Directory

k dispozici jsou čtyři typy trustů služby Active Directory — externí Trust, realm trusts, forest trusts a shortcut trusts. Každý z nich je vysvětlen níže:

  • externí důvěra: externí důvěru vytvoříte, pouze pokud jsou zdroje umístěny v jiném adresáři služby Active Directory. Externí důvěra je vždy netransitivní a může to být jednosměrná nebo obousměrná důvěra.
  • Realm trust: realm trusty jsou vždy vytvářeny mezi doménou Active Directory a adresářem, který není Windows Kerberos, jako je eDirectory, Unix Directory atd. Důvěra může být tranzitivní a netransitivní a směr důvěry může být jednosměrný nebo obousměrný. Pokud používáte různé adresáře ve vašem výrobním prostředí a musí umožnit uživatelům přístup k prostředkům v obou adresářů, budete muset vytvořit říši věřit.
  • Forest trust: budete muset vytvořit forest trust, pokud potřebujete povolit sdílení zdrojů mezi lesy služby Active Directory. Lesní trusty jsou vždy přechodné a směr může být jednosměrný nebo obousměrný.
  • zkratka trust: Možná budete chtít vytvořit důvěru zástupců mezi doménami stejného lesa služby Active Directory, pokud potřebujete zlepšit uživatelské prostředí pro přihlášení. Zkratka trust je vždy přechodná a směr může být jednosměrný nebo obousměrný.

Důležité body, o Active Directory, vztahy důvěryhodnosti

Při vytváření služby Active Directory, vztahy důvěryhodnosti, prosím, vzít na vědomí následující body:

  • musíte mít dostatečná oprávnění k provedení věřit vytvoření operace. Na minimum, budete muset být součástí domain admins nebo enterprise admins, skupiny zabezpečení nebo vám musí být udělena potřebná oprávnění k vytvoření vztahů důvěryhodnosti.
  • v rámci operace vytváření důvěry budete muset ověřit důvěru mezi dvěma cíli. Ověření lze provést pomocí Active Directory domén a trustů snap-in nebo Netdom nástroj příkazového řádku.
  • při vytváření externích nebo lesních trustů můžete vybrat rozsah ověřování pro uživatele. Selektivní ověřování umožňuje omezit přístup pouze k těm identitám v důvěryhodném adresáři služby Active Directory, kterým byla udělena oprávnění k počítačům prostředků v důvěryhodném adresáři služby Active Directory. Scénář omezení přístupu je dosažen pomocí funkce selektivní autentizace, která je použitelná pouze pro externí a lesní trusty.

jak vytvořit trust

k vytvoření trustů vysvětlených výše můžete použít modul snap-in domén a trustů služby Active Directory nebo nástroj příkazového řádku Netdom. Chcete-li například vytvořit externí důvěru pomocí modulu snap-in domén Active Directory a trustů, postupujte takto:

  1. typ domény.msc ve vyhledávací liště v nabídce Start.
  2. klepněte pravým tlačítkem myši na uzel domény a poté klikněte na akci vlastnosti.
  3. na kartě Trust klikněte na Nový Trust a poté klikněte na další pro zobrazení kroků.
  4. do pole Název důvěryhodnosti zadejte název DNS domény a klepněte na tlačítko Další tlačítko.
  5. v rozevírací nabídce Typ důvěry vyberte typ důvěry, který chcete vytvořit. Protože vytváříme externí důvěru, vyberte externí důvěru a poté klikněte na tlačítko Další.
  6. na stránce, kde je uvedeno „směr důvěry“, vyberte směr a pokračujte ve vytváření důvěry podle kroků na obrazovce.

Chcete-li vytvořit externí důvěru pomocí nástroje příkazového řádku Netdom, spusťte tento příkaz:

Netdom Trust <TrustingDomain> /D:<TrustedDomain> /Add

<TrustingDomain> výše uvedený příkaz je název domény DNS důvěřující domény a <TrustedDomain> je název domény DNS domény, který bude věřit v věřit.

Ověření věří

Jakmile jste vytvořili věří, si můžete ověřit pomocí služby Active Directory, Domény a vztahy Důvěryhodnosti snap-in nebo nástroj příkazového řádku Netdom, ale to je nejlepší ověřit věří pomocí Netdom nástroj příkazového řádku. Vše, co musíte udělat, je zadat názvy domén DNS Důvěřovat a Důvěryhodných domén, a pak přidat „/Ověřit“ spínače, jak je znázorněno na níže uvedený příkaz:

Netdom Trust <TrustingDomain> /D:<TrustedDomain> /Verify

i když je snadné vytvořit vztahy důvěryhodnosti služby Active Directory Domény a vztahy Důvěryhodnosti sanp-v, když to přijde k ověření důvěryhodnosti, pomocí Netdom příkaz-line nástroj, to dává smysl, jak to umožňuje zahrnout ověřování příkazu v dávkovém souboru a spusťte jej každý týden, aby byla zajištěna důvěra je na místě.

Foto kredit: Wikimedia

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.