Zarządzanie funduszami powierniczymi Active Directory w systemie Windows Server 2016

Posted on

Fundusze powiernicze Active Directory można tworzyć między domenami Active Directory a lasami Active Directory. Zaufanie pozwala utrzymać relację między dwiema domenami, aby zapewnić użytkownikom dostęp do zasobów w domenach. Wszystkie fundusze powiernicze między domenami w lesie Active Directory są funduszami przejściowymi i dwukierunkowymi. Nie ma więc potrzeby tworzenia zaufania między domenami tego samego lasu Active Directory, ale będziesz musiał utworzyć zaufanie między domenami różnych lasów Active Directory, jeśli chcesz zezwolić użytkownikom z jednej domeny na dostęp do zasobów w innej domenie w innym lesie Active Directory. W tym artykule wyjaśniono dostępne typy zaufania w systemie Windows Server 2016 i sposoby zarządzania nimi za pomocą wbudowanych narzędzi, które są dostarczane podczas instalacji usługi Active Directory na komputerze z systemem Windows Server 2016.

rodzaje trustów Active Directory

dostępne są cztery typy trustów Active Directory — trusty zewnętrzne, trusty realm, trusty leśne i trusty na skróty. Każde z nich jest wyjaśnione poniżej:

  • zaufanie zewnętrzne: zaufanie zewnętrzne tworzysz tylko wtedy, gdy zasoby znajdują się w innym lesie Active Directory. Zaufanie zewnętrzne jest zawsze nietransytywne i może być zaufaniem jednokierunkowym lub dwukierunkowym.
  • Realm trust: trusty Realm są zawsze tworzone pomiędzy lasem Active Directory a nie-Windows katalogiem Kerberos, takim jak eDirectory, Unix Directory itp. Zaufanie może być przejściowe i nietransytywne, a kierunek zaufania może być jednokierunkowy lub dwukierunkowy. Jeśli używasz różnych katalogów w swoim środowisku produkcyjnym i chcesz zezwolić użytkownikom na dostęp do zasobów w jednym z tych katalogów, musisz ustanowić zaufanie do realm.
  • Forest trust: musisz utworzyć Forest trust, jeśli chcesz zezwolić na udostępnianie zasobów między lasami Active Directory. Lasy są zawsze przechodnie, a kierunek może być jednokierunkowy lub dwukierunkowy.
  • shortcut trust: Możesz utworzyć skrót zaufania między domenami tego samego lasu Active Directory, jeśli chcesz poprawić doświadczenie logowania użytkownika. Skrót trust jest zawsze przechodni, a kierunek może być jednokierunkowy lub dwukierunkowy.

ważne punkty dotyczące trustów w usłudze Active Directory

podczas tworzenia trustów w usłudze Active Directory należy zwrócić uwagę na następujące punkty:

  • musisz mieć wystarczające uprawnienia do wykonywania operacji tworzenia zaufania. Co najmniej musisz być częścią grupy bezpieczeństwa administratorów domen lub administratorów korporacyjnych lub musisz uzyskać niezbędne uprawnienia do tworzenia trustów.
  • w ramach operacji tworzenia zaufania będziesz musiał zweryfikować zaufanie między dwoma miejscami docelowymi. Weryfikację można przeprowadzić za pomocą domen Active Directory i Trusts snap-IN lub narzędzia wiersza poleceń Netdom.
  • podczas tworzenia trustów zewnętrznych lub leśnych można wybrać zakres uwierzytelniania dla użytkowników. Uwierzytelnianie selektywne pozwala ograniczyć dostęp tylko do tych tożsamości w zaufanym lesie Active Directory, którym przyznano uprawnienia do komputerów zasobów w zaufanym lesie Active Directory. Scenariusz ograniczenia dostępu uzyskuje się za pomocą funkcji selektywnego uwierzytelniania, która ma zastosowanie tylko do trustów zewnętrznych i leśnych.

jak utworzyć zaufanie

Możesz użyć Active Directory Domains and Trusts snap-IN lub narzędzia wiersza poleceń Netdom, aby utworzyć zaufanie opisane powyżej. Na przykład, aby utworzyć zewnętrzne zaufanie przy użyciu domen Active Directory i przystawki Trusts, wykonaj następujące kroki:

  1. wpisz domenę.msc w pasku wyszukiwania w menu Start.
  2. kliknij prawym przyciskiem myszy węzeł domeny, a następnie kliknij akcję właściwości.
  3. na karcie trusty kliknij nowe zaufanie, a następnie kliknij przycisk Dalej, aby wyświetlić kroki.
  4. w polu Nazwa zaufania wpisz nazwę DNS domeny, a następnie kliknij przycisk Dalej.
  5. z listy rozwijanej Typ zaufania wybierz typ zaufania, który chcesz utworzyć. Ponieważ tworzymy zaufanie zewnętrzne, wybierz zaufanie zewnętrzne,a następnie kliknij przycisk Dalej.
  6. na stronie, na której jest napisane „kierunek zaufania”, wybierz kierunek, a następnie postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby kontynuować tworzenie zaufania.

aby utworzyć zewnętrzne zaufanie za pomocą narzędzia wiersza poleceń Netdom, wykonaj to polecenie:

Netdom Trust <TrustingDomain> /D:<TrustedDomain> /Add

<TrustingDomain> w powyższym poleceniu znajduje się nazwa domeny DNS domeny ufającej i <trusteddomain> to nazwa domeny DNS domeny, która będzie zaufana w zaufaniu.

weryfikacja trustów

Po utworzeniu trustów można je zweryfikować za pomocą przystawki Active Directory Domains i Trusts lub narzędzia wiersza poleceń Netdom, ale najlepiej jest zweryfikować trusty za pomocą narzędzia wiersza poleceń Netdom. Wszystko, co musisz zrobić, to podać nazwy domen DNS zaufanych i zaufanych domen, a następnie dodać przełącznik „/Verify”, jak pokazano w poniższym poleceniu:

Netdom Trust <TrustingDomain> /D:<TrustedDomain> /Verify

chociaż tworzenie trustów jest łatwe przy użyciu domen Active Directory i Trusts sanp-in, jeśli chodzi o weryfikację zaufania, użycie narzędzia wiersza poleceń Netdom ma sens, ponieważ pozwala na włączenie polecenia weryfikacji do pliku wsadowego i uruchamianie go co tydzień, aby upewnić się, że zaufanie jest na miejscu.

zdjęcie: Wikimedia

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.