I trust di Active Directory possono essere creati tra i domini di Active Directory e le foreste di Active Directory. Un trust consente di mantenere una relazione tra i due domini per garantire l’accesso delle risorse nei domini da parte degli utenti. Tutti i trust tra domini in una foresta di Active Directory sono trust transitivi e bidirezionali. Pertanto, non è necessario creare un trust tra domini della stessa foresta di Active Directory, ma verrà richiesto di creare un trust tra domini di diverse foreste di Active Directory se è necessario consentire agli utenti di un dominio di accedere alle risorse in un altro dominio in una foresta di Active Directory diversa. Questo articolo spiega i tipi di trust disponibili in Windows Server 2016 e come è possibile gestirli utilizzando gli strumenti integrati forniti quando si installa Active Directory su un computer Windows Server 2016.
Tipi di trust di Active Directory
Sono disponibili quattro tipi di trust di Active Directory: trust esterni, realm trust, forest trust e shortcut trust. Ognuno è spiegato di seguito:
- Trust esterno: Si creerà un trust esterno solo se le risorse si trovano in una foresta di Active Directory diversa. Un trust esterno è sempre non transitivo e può essere un trust a senso unico o bidirezionale.
- Realm trust: i realm trust vengono sempre creati tra la foresta di Active Directory e una directory Kerberos non Windows come eDirectory, Unix Directory, ecc. La fiducia può essere transitiva e non transitiva e la direzione della fiducia può essere unidirezionale o bidirezionale. Se si eseguono directory diverse nell’ambiente di produzione e è necessario consentire agli utenti di accedere alle risorse in una delle directory, sarà necessario stabilire un trust del realm.
- Forest trust: verrà richiesto di creare un forest trust se è necessario consentire la condivisione delle risorse tra le foreste di Active Directory. I trust forestali sono sempre transitivi e la direzione può essere a senso unico o bidirezionale.
- Fiducia scorciatoia: È possibile creare un trust di collegamento tra domini della stessa foresta di Active Directory se è necessario migliorare l’esperienza di accesso dell’utente. La fiducia scorciatoia è sempre transitiva e la direzione può essere unidirezionale o bidirezionale.
Punti importanti sui trust di Active Directory
Quando si creano trust di Active Directory, prendere nota dei seguenti punti:
- È necessario disporre di autorizzazioni sufficienti per eseguire l’operazione di creazione di trust. Come minimo, ti verrà richiesto di far parte del gruppo di sicurezza domain admins o Enterprise admins oppure devi aver ottenuto le autorizzazioni necessarie per creare trust.
- Nell’ambito dell’operazione di creazione del trust, verrà richiesto di verificare il trust tra due destinazioni. La verifica può essere effettuata utilizzando i domini di Active Directory e Trust snap – in o Netdom strumento a riga di comando.
- Quando si creano trust esterni o forestali, è possibile selezionare l’ambito dell’autenticazione per gli utenti. L’autenticazione selettiva consente di limitare l’accesso solo alle identità in una foresta di Active Directory attendibile a cui sono state concesse le autorizzazioni per i computer delle risorse nella foresta di Active Directory attendibile. Lo scenario Limita l’accesso si ottiene utilizzando la funzione di autenticazione selettiva, che è applicabile solo per trust esterni e forestali.
Come creare un trust
È possibile utilizzare i domini di Active Directory e Trust snap-in o Netdom strumento da riga di comando per creare i trust spiegato sopra. Ad esempio, per creare un trust esterno utilizzando lo snap-in Domini e trust di Active Directory, attenersi alla procedura seguente:
- Digitare dominio.msc nella barra di ricerca nel menu Start.
- Fare clic destro sul nodo del dominio e quindi fare clic sull’azione Proprietà.
- Nella scheda Trust, fare clic sul Nuovo trust e quindi fare clic su Avanti per visualizzare i passaggi.
- Nel campo Nome attendibilità, digitare il nome DNS del dominio e quindi fare clic sul pulsante Avanti.
- Nel menu a discesa Tipo di attendibilità, selezionare il tipo di attendibilità che si desidera creare. Dal momento che stiamo creando un trust esterno, selezionare Trust esterno e quindi fare clic sul pulsante Avanti.
- Nella pagina in cui si dice “Direzione del trust”, selezionare Direzione e quindi seguire i passaggi sullo schermo per continuare a creare il trust.
Per creare un trust esterno utilizzando lo strumento da riga di comando Netdom, eseguire questo comando:
Netdom Trust <TrustingDomain> /D:<TrustedDomain> /Add
<TrustingDomain> il comando è il nome di dominio DNS del dominio trusting e <TrustedDomain> è il nome di dominio DNS del dominio che sarà di fiducia in fiducia.
Verifica dei trust
Una volta creati i trust, è possibile verificarli utilizzando lo snap-in Domini e trust di Active Directory o lo strumento da riga di comando Netdom, ma è meglio verificare i trust utilizzando lo strumento da riga di comando Netdom. Tutto quello che dovete fare è specificare il nome di dominio DNS di fiducia e di domini Trusted e quindi aggiungere la “Verifica” opzione, come mostrato nella seguente comando:
Netdom Trust <TrustingDomain> /D:<TrustedDomain> /Verify
anche se è facile creare un trust utilizzando Active Directory Domini e Trust di sanp-in, quando si tratta di verificare la fiducia, utilizzando il comando Netdom utilità della riga di senso, in quanto consente di includere la verifica di comando in un file batch e l’esecuzione ogni settimana per assicurare la fiducia è a posto.
Credito fotografico: Wikimedia