Administration af Active Directory trusts i Active Directory trusts 2016

Posted on

Active Directory trusts kan oprettes mellem Active Directory domæner og Active Directory skove. En tillid giver dig mulighed for at opretholde et forhold mellem de to domæner for at sikre, at brugerne har adgang til ressourcer i domæner. Alle trusts mellem domæner i en Active Directory-skov er transitive og tovejs trusts. Så der er ikke behov for at oprette en tillid mellem domæner i den samme Active Directory-skov, men du bliver bedt om at oprette en tillid mellem domæner i forskellige Active Directory-skove, hvis du har brug for at give brugere fra et domæne adgang til ressourcer i et andet domæne i en anden Active Directory-skov. I denne artikel beskrives tilgængelige tillidstyper i Microsoft Server 2016, og hvordan du kan administrere dem ved hjælp af de indbyggede værktøjer, der leveres, når du installerer Active Directory på en Microsoft Server 2016-computer.

typer af Active Directory trusts

Der findes fire typer Active Directory trusts — eksterne trusts, realm trusts, forest trusts og shortcut trusts. Hver er forklaret nedenfor:

  • ekstern tillid: du opretter kun en ekstern tillid, hvis ressourcerne er placeret i en anden Active Directory-skov. En ekstern tillid er altid ikke-transitiv, og det kan være en envejs-eller tovejs tillid.Realm trust: Realm trusts oprettes altid mellem Active Directory forest og et ikke-vinduer Kerberos-bibliotek som f.eks. Tilliden kan være transitiv og ikke-transitiv, og tillidsretningen kan være envejs eller tovejs. Hvis du kører forskellige mapper i dit produktionsmiljø og har brug for at give brugerne adgang til ressourcer i en af katalogerne, skal du oprette en realm trust.
  • Forest trust: du bliver bedt om at oprette en forest trust, hvis du har brug for at tillade, at ressourcer deles mellem Active Directory-skove. Forest trusts er altid transitive, og retningen kan være envejs eller tovejs.
  • genvej tillid: Du ønsker måske at oprette en genvej tillid mellem domæner i samme Active Directory forest, hvis du har brug for at forbedre bruger login oplevelse. Genvejstilliden er altid transitiv, og retningen kan være envejs eller tovejs.

vigtige punkter om Active Directory trusts

når du opretter Active Directory trusts, skal du notere følgende punkter:

  • du skal have tilstrækkelige tilladelser til at udføre oprettelse af tillid. Som minimum skal du være en del af domæneadministratorer eller enterprise admins security group, eller du skal have fået de nødvendige tilladelser til at oprette tillid.
  • som en del af oprettelsen af tillid skal du bekræfte tilliden mellem to destinationer. Verifikation kan gøres ved hjælp af Active Directory domæner og Trusts snap-in eller netdom kommandolinje værktøj.
  • når du opretter eksterne trusts eller forest trusts, kan du vælge omfanget af godkendelsen for brugere. Selektiv godkendelse giver dig mulighed for at begrænse adgangen til kun de identiteter i en betroet Active Directory-skov, der har fået tilladelser til ressourcecomputere i tillid til Active Directory forest. Scenariet for begrænset adgang opnås ved hjælp af funktionen selektiv godkendelse, som kun gælder for eksterne trusts og forest trusts.

Sådan oprettes en trust

Du kan bruge snap-in til Active Directory-domæner og Trusts eller kommandolinjeværktøjet Netdom til at oprette de trusts, der er forklaret ovenfor. Hvis du f.eks. vil oprette en ekstern tillid ved hjælp af snap-in med Active Directory-domæner og Trusts, skal du følge trinnene:

  1. skriv domæne.msc i søgefeltet i Start-menuen.
  2. Højreklik på domænenoden, og klik derefter på handlingen egenskaber.
  3. klik på den nye tillid under fanen Trusts, og klik derefter på Næste for at vise trinnene.
  4. skriv DNS-navnet på domænet i feltet Tillidsnavn, og klik derefter på knappen Næste.
  5. i rullemenuen Tillidstype skal du vælge den type tillid, du vil oprette. Da vi opretter en ekstern tillid, skal du vælge ekstern tillid og derefter klikke på knappen Næste.
  6. på den side, hvor der står “retning af tilliden”, skal du vælge retning og derefter følge trinnene på skærmen for at fortsætte med at oprette tilliden.

for at oprette en ekstern tillid ved hjælp af netdom kommandolinjeværktøj skal du udføre denne kommando:

Netdom Trust <TrustingDomain> /D:<TrustedDomain> /Add

<Trusteddomain> i ovenstående kommando er DNS-domænenavnet på det tillidsfulde domæne og <TrustedDomain> er DNS-domænenavnet på det domæne, der vil være tillid til tilliden.

verificering af trusts

når du har oprettet trusts, kan du bekræfte dem ved hjælp af snap-in ‘ en Active Directory Domains and Trusts eller værktøjet netdom kommandolinje, men det er bedst at verificere trusts ved hjælp af værktøjet netdom kommandolinje. Alt hvad du skal gøre er at specificere DNS-domænenavne for tillidsfulde og betroede domæner og derefter tilføje “/Verify”-kontakten som vist i kommandoen nedenfor:

Netdom Trust <TrustingDomain> /D:<TrustedDomain> /Verify

selvom det er let at oprette tillid ved hjælp af Active Directory-domæner og Trusts sanp-in, når det kommer til at verificere tilliden, er det fornuftigt at bruge netdom-kommandolinjeværktøjet, da det giver dig mulighed for at inkludere verifikationskommandoen i en batchfil og køre den hver uge for at sikre, at tillid er på plads.

Foto Kredit:

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.