Az Active Directory trösztök kezelése Windows Server 2016 rendszerben

Posted on

Az Active Directory trösztök létrehozhatók az Active Directory-tartományok és az Active Directory-erdők között. A bizalom lehetővé teszi a két tartomány közötti kapcsolat fenntartását annak biztosítása érdekében, hogy a tartományok erőforrásai a felhasználók számára elérhetők legyenek. Az Active Directory-erdőben lévő tartományok közötti összes bizalmi kapcsolat tranzitív és kétirányú bizalmi kapcsolat. Tehát nem kell megbízhatóságot létrehoznia ugyanazon Active Directory-erdő tartományai között, de megbízhatóságot kell létrehoznia a különböző Active Directory-erdők tartományai között, ha engedélyeznie kell az egyik tartomány felhasználóinak, hogy hozzáférjenek egy másik tartomány erőforrásaihoz egy másik Active Directory-erdőben. Ez a cikk ismerteti a Windows Server 2016 rendszerben elérhető megbízhatósági típusokat, valamint azt, hogy miként kezelheti azokat a beépített eszközökkel, amelyeket az Active Directory Windows Server 2016 rendszeren történő telepítésekor szállít.

az Active Directory Trust — ok típusai

Az Active Directory Trust-oknak négy típusa áll rendelkezésre: külső Trust-ok, realm Trust-ok, forest Trust-ok és parancsikon Trust-ok. Az alábbiakban ismertetjük:

  • külső bizalom: csak akkor hoz létre külső megbízhatóságot, ha az erőforrások egy másik Active Directory-erdőben találhatók. A külső bizalom mindig nem transzverzív, és lehet egyirányú vagy kétirányú bizalom.
  • Realm trust: A Realm Trust mindig az Active Directory erdő és egy nem Windows Kerberos könyvtár, például eDirectory, Unix könyvtár között jön létre. A bizalom lehet tranzitív és nem transzitív, a bizalom iránya pedig lehet egyirányú vagy kétirányú. Ha különböző könyvtárakat futtat a termelési környezetben, és lehetővé kell tennie a felhasználók számára, hogy hozzáférjenek a könyvtárak erőforrásaihoz, létre kell hoznia egy tartománymegbízhatóságot.
  • Forest trust: ha engedélyezni szeretné az erőforrások megosztását az Active Directory-erdők között, akkor létre kell hoznia egy forest trust-ot. Az erdei trösztök mindig tranzitívak, és az irány lehet egyirányú vagy kétirányú.
  • parancsikon bizalom: Ha javítani szeretné a felhasználói bejelentkezési élményt, akkor létrehozhat egy parancsikon megbízhatóságát ugyanazon Active Directory-erdő tartományai között. A parancsikon megbízhatósága mindig tranzitív, az irány lehet egyirányú vagy kétirányú.

fontos pontok az Active Directory Trust-okról

Az Active Directory Trust-ok létrehozásakor kérjük, vegye figyelembe a következő pontokat:

  • elegendő jogosultsággal kell rendelkeznie a trust creation művelet végrehajtásához. Legalább a tartományi rendszergazdák vagy a Vállalati rendszergazdák biztonsági csoport tagjának kell lennie, vagy meg kell adnia a szükséges engedélyeket a bizalmi vagyonkezelés létrehozásához.
  • a megbízhatósági létrehozási művelet részeként ellenőriznie kell a két célállomás közötti megbízhatóságot. Az ellenőrzés az Active Directory Domains and Trusts beépülő modul vagy a Netdom parancssori eszköz használatával végezhető el.
  • külső vagy erdei megbízások létrehozásakor kiválaszthatja a hitelesítés hatókörét a felhasználók számára. A szelektív hitelesítés lehetővé teszi, hogy csak azokra az identitásokra korlátozza a hozzáférést egy megbízható Active Directory-erdőben, akik engedélyt kaptak az erőforrás-számítógépekre a megbízható Active Directory-erdőben. A hozzáférés korlátozása forgatókönyv A szelektív hitelesítési funkció használatával érhető el, amely csak külső és erdészeti megbízásokra alkalmazható.

Hogyan hozzunk létre megbízhatóságot

Az Active Directory Domains and Trusts beépülő modult vagy a Netdom parancssori eszközt használhatja a fent ismertetett megbízhatósági elemek létrehozásához. Ha például az Active Directory Domains and Trusts beépülő modullal szeretne külső megbízhatóságot létrehozni, kövesse a következő lépéseket:

  1. írja be a tartományt.msc a Start menü keresősávjában.
  2. kattintson a jobb gombbal a domain csomópontra, majd kattintson a Tulajdonságok műveletre.
  3. A megbízhatósági lapon kattintson az új megbízhatósági elemre, majd kattintson a Tovább gombra a lépések megjelenítéséhez.
  4. A megbízhatósági Név mezőbe írja be a tartomány DNS-nevét, majd kattintson a Tovább gombra.
  5. a bizalom típusa legördülő menüben válassza ki a létrehozni kívánt bizalom típusát. Mivel külső bizalmat hozunk létre, válassza a külső bizalom lehetőséget, majd kattintson a Tovább gombra.
  6. azon az oldalon, ahol a “bizalom iránya” felirat szerepel, válassza az irány lehetőséget, majd kövesse a képernyőn megjelenő lépéseket a bizalom létrehozásának folytatásához.

külső bizalom létrehozásához a Netdom parancssori eszközzel hajtsa végre ezt a parancsot:

Netdom Trust <TrustingDomain> /D:<TrustedDomain> /Add

<TrustingDomain> a fenti parancsban szerepel a megbízható tartomány DNS-neve és <TrustedDomain> a megbízható tartomány DNS-tartományneve.

bizalmi kapcsolat ellenőrzése

miután létrehozta a bizalmi kapcsolatot, ellenőrizheti őket az Active Directory Domains and Trusts beépülő modullal vagy a Netdom parancssori eszközzel, de a legjobb, ha a bizalmi kapcsolatot a Netdom parancssori eszközzel ellenőrzi. Mindössze annyit kell tennie, hogy megadja a megbízható és megbízható tartományok DNS-tartományneveit, majd hozzáadja a “/Verify” kapcsolót az alábbi parancs szerint:

Netdom Trust <TrustingDomain> /D:<TrustedDomain> /Verify

bár az Active Directory Domains and Trusts sanp-in használatával könnyen létrehozható Trust, a trust ellenőrzése során a Netdom parancssori segédprogramnak van értelme, mivel lehetővé teszi, hogy az ellenőrző parancsot egy kötegelt fájlba belefoglalja, és minden héten futtassa, hogy biztosítsa a megbízható tartományok a bizalom a helyén van.

fotó: Wikimedia

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.