Active Directory-vertrouwensrelaties kunnen worden gemaakt tussen Active Directory-domeinen en Active Directory-forests. Met een vertrouwensrelatie kunt u een relatie tussen de twee domeinen onderhouden om ervoor te zorgen dat bronnen in domeinen toegankelijk zijn voor gebruikers. Alle vertrouwensrelaties tussen domeinen in een Active Directory-forest zijn transitieve vertrouwensrelaties en tweerichtingsvertrouwingen. Het is dus niet nodig een vertrouwensrelatie tot stand te brengen tussen domeinen van hetzelfde Active Directory-forest, maar u moet wel een vertrouwensrelatie tot stand brengen tussen domeinen van verschillende Active Directory-forests als u gebruikers van het ene domein toegang moet geven tot bronnen in een ander domein in een ander Active Directory-forest. In dit artikel worden de beschikbare typen vertrouwensrelaties in Windows Server 2016 uitgelegd en wordt uitgelegd hoe u deze kunt beheren met behulp van de ingebouwde hulpprogramma ‘ s die worden geleverd wanneer u Active Directory op een Windows Server 2016-computer installeert.
typen Active Directory — vertrouwensrelaties
Er zijn vier typen Active Directory-vertrouwensrelaties beschikbaar: externe vertrouwensrelaties, realm-vertrouwensrelaties, forest-vertrouwensrelaties en snelkoppelingen. Elk ervan wordt hieronder uitgelegd:
- externe vertrouwensrelatie: u maakt alleen een externe vertrouwensrelatie aan als de bronnen zich in een ander Active Directory-forest bevinden. Een externe vertrouwensrelatie is altijd niet-transitief en kan een eenrichtings-of tweewegsrelatie zijn.
- Realm-vertrouwensrelatie: Realm-vertrouwensrelaties worden altijd gemaakt tussen het Active Directory-forest en een niet-Windows Kerberos-map zoals eDirectory, Unix-map, enz. De vertrouwensrelatie kan transitief en niet-transitief zijn en de vertrouwensrichting kan eenrichtings-of tweerichtingsrichting zijn. Als u verschillende mappen in uw productieomgeving draait en gebruikers toegang moet geven tot bronnen in een van de mappen, moet u een realm-vertrouwensrelatie tot stand brengen.
- Forest-vertrouwensrelatie: u moet een forest-vertrouwensrelatie maken als u wilt toestaan dat bronnen worden gedeeld tussen Active Directory-forests. Forest-vertrouwensrelaties zijn altijd transitief en de richting kan eenrichtingsverkeer of tweerichtingsverkeer zijn.
- sneltoets vertrouwen: U kunt een snelkoppeling tussen domeinen van hetzelfde Active Directory-forest maken als u de aanmeldingservaring van gebruikers wilt verbeteren. De snelkoppeling vertrouwen is altijd transitief en richting kan een-of twee-weg.
belangrijke punten over Active Directory-vertrouwensrelaties
bij het maken van Active Directory-vertrouwensrelaties moet u rekening houden met de volgende punten:
- u moet over voldoende machtigingen beschikken om een vertrouwensoperatie uit te voeren. U moet minimaal deel uitmaken van de beveiligingsgroep Domeinadministrators of Ondernemingsadministrators of u moet de nodige machtigingen hebben gekregen om vertrouwensrelaties te maken.
- als onderdeel van de vertrouwensoperatie moet u de vertrouwensrelatie tussen twee bestemmingen verifiëren. Verificatie kan worden uitgevoerd met de module Active Directory-domeinen en vertrouwensrelaties of het opdrachtregelprogramma Netdom.
- bij het maken van externe of forest-vertrouwensrelaties kunt u het bereik van de verificatie voor gebruikers selecteren. Met selectieve verificatie kunt u de toegang beperken tot alleen die identiteiten in een vertrouwd Active Directory-forest die machtigingen hebben gekregen voor broncomputers in het vertrouwde Active Directory-forest. Het scenario toegang beperken wordt bereikt met de functie Selectieve verificatie, die alleen van toepassing is op externe vertrouwensrelaties en forest-vertrouwensrelaties.
een vertrouwensrelatie maken
u kunt de module Active Directory Domains and Trusts of het opdrachtregelprogramma Netdom gebruiken om de hierboven beschreven vertrouwensrelaties aan te maken. Als u bijvoorbeeld een externe vertrouwensrelatie wilt maken met de module Active Directory-domeinen en vertrouwensrelaties, voert u de volgende stappen uit:
- Type domein.msc in de zoekbalk in het menu Start.
- Klik met de rechtermuisknop op het domein knooppunt en klik vervolgens op de eigenschappen actie.
- klik op het tabblad vertrouwensrelaties op de nieuwe vertrouwensrelatie en klik vervolgens op Volgende om de stappen te tonen.
- typ in het veld Naam van vertrouwen de DNS-naam van het domein en klik vervolgens op de knop Volgende.
- in de vervolgkeuzelijst Vertrouwenstype selecteert u het type vertrouwensrelatie dat u wilt maken. Omdat we een externe vertrouwensrelatie maken, selecteert u externe vertrouwensrelatie en klikt u vervolgens op de knop Volgende.
- op de pagina waar staat “richting van de vertrouwensrelatie”, selecteer richting en volg vervolgens de stappen op het scherm om verder te gaan met het creëren van de vertrouwensrelatie.
om een externe vertrouwensrelatie aan te maken met het opdrachtregelprogramma Netdom, voert u dit commando uit:
Netdom Trust <TrustingDomain> /D:<TrustedDomain> /Add
<TrustingDomain> in het bovenstaande commando is de DNS-domeinnaam van het vertrouwende domein en <TrustedDomain> is de DNS-naam van het domein dat wordt vertrouwd in het vertrouwen.
vertrouwensrelaties verifiëren
nadat u vertrouwensrelaties hebt gemaakt, kunt u deze verifiëren met de module Active Directory Domains and Trusts of met het opdrachtregelprogramma Netdom, maar u kunt de vertrouwensrelaties het beste verifiëren met het opdrachtregelprogramma Netdom. Het enige wat u hoeft te doen is de DNS-domeinnamen van vertrouwende en vertrouwde domeinen opgeven en vervolgens de schakelaar “/Verify” toevoegen zoals weergegeven in de onderstaande opdracht:
Netdom Trust <TrustingDomain> /D:<TrustedDomain> /Verify
hoewel het eenvoudig is om vertrouwensrelaties aan te maken met de Active Directory-domeinen en vertrouwensrelaties sanp-in, is het zinvol om de vertrouwensrelatie te verifiëren met het opdrachtregelhulpprogramma Netdom, omdat het u toestaat om de verificatieopdracht in een batchbestand op te nemen en deze elke week uit te voeren om de vertrouwensrelatie te verzekeren is op zijn plaats.
Fotokrediet: Wikimedia