Active Directory trustien hallinta Windows Server 2016

Posted on

Active Directory trusteja voidaan luoda Active Directory-toimialueiden ja Active Directory-metsien välillä. Trustin avulla voit ylläpitää suhdetta kahden verkkotunnuksen välillä varmistaakseen, että käyttäjät voivat käyttää verkkotunnusten resursseja. Kaikki Active Directory Forestin verkkotunnusten väliset trustit ovat transitiivisia ja kaksisuuntaisia trusteja. Joten ei ole tarvetta luoda luottamusta saman Active Directory-metsän verkkotunnusten välillä, mutta sinun on luotava luottamus eri Active Directory-metsien verkkotunnusten välillä, jos sinun on sallittava yhden verkkotunnuksen käyttäjien käyttää toisen verkkotunnuksen resursseja eri Active Directory-metsässä. Tässä artikkelissa selitetään Windows Server 2016: n käytettävissä olevat luottamustyypit ja miten voit hallita niitä sisäänrakennetuilla työkaluilla, jotka lähetetään, kun asennat Active Directoryn Windows Server 2016-tietokoneeseen.

Active Directory trustien tyypit

Active Directory trusteja on saatavilla neljää tyyppiä — ulkoiset trustit, realm trustit, forest trustit ja shortcut trustit. Jokainen on selitetty alla:

  • ulkoinen luottamus: luot ulkoisen rahaston vain, jos resurssit sijaitsevat eri Active Directory-metsässä. Ulkoinen luottamus on aina ei-transitiivinen ja se voi olla yksisuuntainen tai kaksisuuntainen luottamus.
  • Realm trust: Realm trusteja luodaan aina Active Directory-metsän ja ei-Windows-Kerberos-hakemiston, kuten edirectoryn, Unix-hakemiston jne välillä. Luottamus voi olla transitiivista ja ei-transitiivista ja luottamussuunta voi olla yksisuuntainen tai kaksisuuntainen. Jos käytät eri hakemistoja tuotantoympäristössäsi ja sinun on sallittava käyttäjien käyttää jommankumman hakemiston resursseja, sinun on perustettava realm trust.
  • Forest trust: sinun on perustettava forest trust, jos haluat sallia resurssien jakamisen Active Directory-metsien kesken. Metsäkustanteet ovat aina transitiivisia ja suunta voi olla yksisuuntainen tai kaksisuuntainen.
  • Oikotien luottamus: Voit halutessasi luoda pikakuvakkeen luottamus saman Active Directory-metsän verkkotunnusten välillä, jos haluat parantaa käyttäjätunnusta. Oikotie trust on aina transitiivinen ja suunta voi olla yksisuuntainen tai kaksisuuntainen.

tärkeitä kohtia Active Directory trusteista

Kun luot Active Directory trusteja, ota huomioon seuraavat kohdat:

  • tarvitset riittävät oikeudet luottamuksen luontioperaation suorittamiseen. Vähintään, sinun on oltava osa Toimialueen järjestelmänvalvojat tai enterprise järjestelmänvalvojat security group tai sinulla on oltava tarvittavat oikeudet luoda trusts.
  • osana Trustin luontioperaatiota sinun on tarkistettava luottamus kahden kohteen välillä. Varmennus voidaan tehdä Active Directory Domains and Trusts-laajennuksen tai Netdom-komentorivityökalun avulla.
  • luotaessa ulkopuolisia tai metsävaroja, käyttäjä voi valita tunnistautumisen laajuuden. Selektiivisen todennuksen avulla voit rajoittaa käyttöoikeuden vain niihin luotetun Active Directory-metsän tunnisteisiin, joille on annettu käyttöoikeudet resurssitietokoneisiin luottavassa Active Directory-metsässä. Käyttöoikeuksien rajoitusskenaario saavutetaan käyttämällä selektiivistä Todennusominaisuutta, jota sovelletaan vain ulkoisiin trusteihin ja metsävarastoihin.

miten luot luottamuksen

voit käyttää Active Directory-verkkotunnuksia ja trusteja-laajennusta tai Netdom-komentorivityökalua yllä selitettyjen trustien luomiseen. Jos haluat esimerkiksi luoda ulkoisen luottamuksen Active Directory Domains and Trusts-laajennuksen avulla, toimi seuraavasti:

  1. Type Domain.msc hakupalkin Käynnistä-valikossa.
  2. napsauta hiiren kakkospainikkeella toimialueen solmua ja valitse sitten Ominaisuudet-toiminto.
  3. Napsauta Trusts-välilehdessä uutta luottamusta ja valitse sitten Seuraava näyttääksesi vaiheet.
  4. Kirjoita luottamuksen Nimi-kenttään verkkotunnuksen DNS-nimi ja napsauta sitten Seuraava-painiketta.
  5. valitse Luottamustyyppi-pudotusvalikosta haluamasi luottamustyyppi. Koska luomme ulkoisen luottamuksen, valitse ulkoinen luottamus ja napsauta sitten Seuraava-painiketta.
  6. sivulla, jossa lukee ”luottamuksen suunta”, Valitse suunta ja seuraa sitten ruudun ohjeita jatkaaksesi luottamuksen luomista.

luodaksesi ulkoisen luottamuksen Netdom-komentorivityökalulla, suorita tämä komento:

Netdom Trust <TrustingDomain> /D:<TrustedDomain> /Add

<TrustingDomain> yllä olevassa komennossa on trusting domainin DNS-verkkotunnus ja <TrustedDomain> on luottamustoimessa luotettavan verkkotunnuksen DNS-verkkotunnus.

trustien todentaminen

kun olet luonut trustit, voit tarkistaa ne Active Directory-verkkotunnukset ja trustit-laajennuksen tai Netdom-komentorivityökalun avulla, mutta trustit on parasta todentaa netdom-komentorivityökalulla. Kaikki mitä sinun tarvitsee tehdä, on määrittää DNS verkkotunnukset luottavainen ja luotettu verkkotunnuksia ja sitten lisätä ”/Verify” kytkin kuten komennossa alla:

Netdom Trust <TrustingDomain> /D:<TrustedDomain> /Verify

vaikka se on helppo luoda trusteja käyttämällä Active Directory verkkotunnuksia ja luottaa sanp-in, kun se tulee varmentaa luottamus, käyttämällä netdom komentorivi apuohjelma on järkevää, koska sen avulla voit sisällyttää vahvistuskomento komentojonotiedostoon ja ajaa sen viikoittain varmistaa luottamus on kohdallaan.

Photo credit: Wikimedia

Vastaa

Sähköpostiosoitettasi ei julkaista.