Verwalten von Active Directory-Vertrauensstellungen in Windows Server 2016

Posted on

Active Directory-Vertrauensstellungen können zwischen Active Directory-Domänen und Active Directory-Gesamtstrukturen erstellt werden. Mit einer Vertrauensstellung können Sie eine Beziehung zwischen den beiden Domänen aufrechterhalten, um sicherzustellen, dass Benutzer auf Ressourcen in Domänen zugreifen können. Alle Vertrauensstellungen zwischen Domänen in einer Active Directory-Gesamtstruktur sind transitive und bidirektionale Vertrauensstellungen. Sie müssen also keine Vertrauensstellung zwischen Domänen derselben Active Directory-Gesamtstruktur erstellen, aber Sie müssen eine Vertrauensstellung zwischen Domänen verschiedener Active Directory-Gesamtstrukturen erstellen, wenn Sie Benutzern aus einer Domäne den Zugriff auf Ressourcen in einer anderen Domäne in einer anderen Active Directory-Gesamtstruktur ermöglichen müssen. In diesem Artikel werden die verfügbaren Vertrauensstellungstypen in Windows Server 2016 erläutert und erläutert, wie Sie sie mithilfe der integrierten Tools verwalten können, die bei der Installation von Active Directory auf einem Windows Server 2016-Computer bereitgestellt werden.

Arten von Active Directory—Vertrauensstellungen

Es gibt vier Arten von Active Directory-Vertrauensstellungen: externe Vertrauensstellungen, Realm-Vertrauensstellungen, Gesamtstruktur-Vertrauensstellungen und Verknüpfungs-Vertrauensstellungen. Externe Vertrauensstellung: Sie erstellen eine externe Vertrauensstellung nur, wenn sich die Ressourcen in einer anderen Active Directory-Gesamtstruktur befinden. Ein externes Vertrauen ist immer nicht transitiv und kann ein Einweg- oder Zweiwegvertrauen sein.

  • Realm trust: Realm Trust wird immer zwischen der Active Directory-Gesamtstruktur und einem Nicht-Windows-Kerberos-Verzeichnis wie eDirectory, Unix Directory usw. erstellt. Das Vertrauen kann transitiv und nichttransitiv sein, und die Vertrauensrichtung kann einseitig oder zweiseitig sein. Wenn Sie in Ihrer Produktionsumgebung verschiedene Verzeichnisse ausführen und Benutzern den Zugriff auf Ressourcen in einem der Verzeichnisse ermöglichen müssen, müssen Sie eine Realm-Vertrauensstellung einrichten.
  • Gesamtstrukturvertrauensstellung: Sie müssen eine Gesamtstrukturvertrauensstellung erstellen, wenn Sie zulassen möchten, dass Ressourcen zwischen Active Directory-Gesamtstrukturen gemeinsam genutzt werden. Forest-Trusts sind immer transitiv und die Richtung kann ein- oder zweiseitig sein.
  • Verknüpfung Vertrauen: Möglicherweise möchten Sie eine Verknüpfungsvertrauensstellung zwischen Domänen derselben Active Directory-Gesamtstruktur erstellen, wenn Sie die Benutzeranmeldung verbessern möchten. Die Verknüpfung Vertrauen ist immer transitiv und Richtung kann Ein- oder Zweiweg sein.

    • Wichtige Punkte zu Active Directory-Vertrauensstellungen

    Beachten Sie beim Erstellen von Active Directory-Vertrauensstellungen die folgenden Punkte:

    • Sie benötigen ausreichende Berechtigungen, um eine Vertrauensstellung durchführen zu können. Sie müssen mindestens Teil der Sicherheitsgruppe Domänenadministratoren oder Unternehmensadministratoren sein oder die erforderlichen Berechtigungen zum Erstellen von Vertrauensstellungen erhalten haben.
    • Im Rahmen der Vertrauensstellungsoperation müssen Sie die Vertrauensstellung zwischen zwei Zielen überprüfen. Die Überprüfung kann mithilfe des Snap-Ins für Active Directory-Domänen und -Vertrauensstellungen oder des Befehlszeilentools Netdom erfolgen.
    • Beim Erstellen von externen oder Gesamtstrukturvertrauensstellungen können Sie den Umfang der Authentifizierung für Benutzer auswählen. Mit der selektiven Authentifizierung können Sie den Zugriff nur auf die Identitäten in einer vertrauenswürdigen Active Directory-Gesamtstruktur beschränken, denen Berechtigungen für Ressourcencomputer in einer vertrauenswürdigen Active Directory-Gesamtstruktur erteilt wurden. Das Szenario Zugriff einschränken wird durch die Verwendung der selektiven Authentifizierungsfunktion erreicht, die nur für externe und Gesamtstrukturvertrauensstellungen gilt.

    Erstellen einer Vertrauensstellung

    Sie können das Snap-in Active Directory-Domänen und Vertrauensstellungen oder das Befehlszeilentool Netdom verwenden, um die oben erläuterten Vertrauensstellungen zu erstellen. Führen Sie beispielsweise die folgenden Schritte aus, um eine externe Vertrauensstellung mithilfe des Snap-ins Active Directory-Domänen und -Vertrauensstellungen zu erstellen:

    1. Geben Sie Domäne ein.msc in der Suchleiste im Startmenü.
    2. Klicken Sie mit der rechten Maustaste auf den Domänenknoten und dann auf die Aktion Eigenschaften.
    3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf die neue Vertrauensstellung, und klicken Sie dann auf Weiter, um die Schritte anzuzeigen.
    4. Geben Sie im Feld Vertrauensname den DNS-Namen der Domäne ein und klicken Sie dann auf Weiter.
    5. Wählen Sie im Dropdown-Menü Vertrauensstellungstyp den Typ der Vertrauensstellung aus, die Sie erstellen möchten. Da wir eine externe Vertrauensstellung erstellen, wählen Sie Externe Vertrauensstellung und klicken Sie dann auf Weiter.
    6. Wählen Sie auf der Seite „Richtung der Vertrauensstellung“ die Option „Richtung“ aus, und befolgen Sie dann die Schritte auf dem Bildschirm, um die Vertrauensstellung fortzusetzen.

    Um eine externe Vertrauensstellung mit dem Netdom-Befehlszeilentool zu erstellen, führen Sie diesen Befehl aus:

    Netdom Trust <TrustingDomain> /D:<TrustedDomain> /Add

    <TrustingDomain> Im obigen Befehl ist der DNS-Domänenname der vertrauenswürdigen Domäne und <TrustedDomain> ist der DNS-Domänenname der Domäne, der in der Vertrauensstellung vertraut wird.

    Trusts überprüfen

    Nachdem Sie Trusts erstellt haben, können Sie diese mithilfe des Active Directory-Snap-ins für Domänen und Trusts oder des Netdom-Befehlszeilentools überprüfen. Sie müssen lediglich die DNS-Domänennamen der vertrauenswürdigen und vertrauenswürdigen Domänen angeben und dann den Schalter „/Verify“ hinzufügen, wie im folgenden Befehl gezeigt:

    Netdom Trust <TrustingDomain> /D:<TrustedDomain> /Verify

    Obwohl es einfach ist, Vertrauensstellungen mit dem Active Directory-Domänen- und Vertrauensstellungs-Sanp-In zu erstellen, ist die Verwendung des Befehlszeilendienstprogramms Netdom zur Überprüfung der Vertrauensstellung sinnvoll, da Sie den Überprüfungsbefehl in eine Batchdatei aufnehmen und jede Woche ausführen können, um die Vertrauensstellung sicherzustellen ist vorhanden.

    Bildnachweis: Wikimedia

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht.