Gestionarea Active Directory trusturi în Windows Server 2016

Posted on

Active Directory trusturi pot fi create între domenii Active Directory și păduri Active Directory. Un trust vă permite să mențineți o relație între cele două domenii pentru a vă asigura că resursele din domenii pot fi accesate de utilizatori. Toate trusturile dintre domeniile dintr-o pădure Active Directory sunt trusturi tranzitive și bidirecționale. Deci, nu este nevoie să creați un trust între domenii din aceeași pădure Active Directory, dar vi se va cere să creați un trust între domenii din diferite păduri Active Directory dacă trebuie să permiteți utilizatorilor dintr-un domeniu să acceseze resurse dintr-un alt domeniu dintr-o pădure Active Directory diferită. Acest articol explică tipurile de încredere disponibile în Windows Server 2016 și modul în care le puteți gestiona utilizând instrumentele încorporate care sunt livrate atunci când instalați Active Directory pe un computer Windows Server 2016.

tipuri de Active Directory trusturi

există patru tipuri de Active Directory trusturi disponibile — trusturi externe, trusturi realm, trusturi forestiere, și trusturi de comenzi rapide. Fiecare este explicat mai jos:

  • încredere externă: veți crea o încredere externă numai dacă resursele se află într-o pădure Active Directory diferită. O încredere externă este întotdeauna nontransitivă și poate fi o încredere într-o direcție sau în ambele sensuri.
  • Realm trust: trusturile Realm sunt întotdeauna create între pădurea Active Directory și un director Kerberos non-Windows, cum ar fi eDirectory, Unix Directory etc. Încrederea poate fi tranzitivă și nontransitivă, iar direcția de încredere poate fi una sau două sensuri. Dacă executați directoare diferite în mediul dvs. de producție și trebuie să permiteți utilizatorilor să acceseze resurse în oricare dintre directoare, va trebui să stabiliți o încredere în domeniu.
  • Forest trust: vi se va cere să creați un trust forest dacă trebuie să permiteți partajarea resurselor între pădurile Active Directory. Trusturile forestiere sunt întotdeauna tranzitive, iar direcția poate fi una sau două sensuri.
  • Shortcut trust: Poate doriți să creați o încredere de comenzi rapide între domeniile din aceeași pădure Active Directory dacă trebuie să îmbunătățiți experiența de conectare a utilizatorului. Shortcut trust este întotdeauna tranzitiv și direcția poate fi unidirecțională sau bidirecțională.

puncte importante despre Active Directory trusturi

la crearea Active Directory trusturi, vă rugăm să luați o notă de următoarele puncte:

  • trebuie să aveți permisiuni suficiente pentru a efectua operațiunea de creare de încredere. Cel puțin, vi se va cere să faceți parte din grupul de securitate al administratorilor de domenii sau al administratorilor de întreprinderi sau trebuie să vi se fi acordat permisiunile necesare pentru a crea trusturi.
  • ca parte a operațiunii de creare a încrederii, vi se va cere să verificați încrederea între două destinații. Verificarea se poate face utilizând Active Directory Domains și Trusts snap-in sau Netdom command line tool.
  • când creați trusturi externe sau forestiere, puteți selecta domeniul de autentificare pentru utilizatori. Autentificarea selectivă vă permite să restricționați accesul numai la acele identități dintr-o pădure Active Directory de încredere cărora li s-au acordat permisiuni pentru computerele cu resurse din pădurea Active Directory de încredere. Scenariul de restricționare a accesului se realizează prin utilizarea caracteristicii de autentificare selectivă, care se aplică numai pentru trusturile externe și forestiere.

cum se creează un trust

puteți utiliza Active Directory Domains and Trusts snap-in sau Netdom command line tool pentru a crea trusturile explicate mai sus. De exemplu, pentru a crea o încredere externă utilizând snap-in domenii Active Directory și trusturi, urmați pașii:

  1. type Domain.msc în bara de căutare din meniul Start.
  2. faceți clic dreapta pe nodul de domeniu și apoi faceți clic pe acțiunea proprietăți.
  3. în fila trusturi, faceți clic pe noua încredere și apoi faceți clic pe Următorul pentru a afișa pașii.
  4. în câmpul Nume de încredere, tastați numele DNS al domeniului și apoi faceți clic pe butonul Următorul.
  5. în meniul derulant Tip încredere, selectați tipul de încredere pe care doriți să îl creați. Deoarece creăm o încredere externă, selectați încredere externă și apoi faceți clic pe butonul Următorul.
  6. pe pagina unde scrie „direcția încrederii”, selectați direcție și apoi urmați pașii de pe ecran pentru a continua crearea încrederii.

pentru a crea un trust extern folosind Netdom command line tool, executați această comandă:

Netdom Trust <TrustingDomain> /D:<TrustedDomain> /Add

<TrustingDomain>în comanda de mai sus este numele domeniului DNS al domeniului de încredere și <TrustedDomain>este numele domeniului DNS al domeniului care va fi de încredere în încredere.

verificarea trusturilor

după ce ați creat trusturi, le puteți verifica utilizând snap-in domenii Active Directory și trusturi sau instrumentul Netdom command line, dar cel mai bine este să verificați trusturile utilizând instrumentul Netdom command line. Tot ce trebuie să faceți este să specificați numele de domenii DNS ale domeniilor de încredere și de încredere și apoi să adăugați comutatorul „/Verify” așa cum se arată în comanda de mai jos:

Netdom Trust <TrustingDomain> /D:<TrustedDomain> /Verify

deși este ușor să creați trusturi folosind domeniile Active Directory și trusturi sanp-in, atunci când vine vorba de verificarea trustului, utilizarea utilitarului Netdom command-line are sens, deoarece vă permite să includeți comanda de verificare într-un fișier batch și să o rulați în fiecare săptămână pentru a vă asigura că trusturile sunt încrederea este în vigoare.

sursă foto: Wikimedia

Lasă un răspuns

Adresa ta de email nu va fi publicată.