Hantera Active Directory-förtroenden i Windows Server 2016

publicerat den

Active Directory-förtroenden kan skapas mellan Active Directory-domäner och Active Directory-skogar. Med ett förtroende kan du upprätthålla en relation mellan de två domänerna för att säkerställa att resurser i domäner kan nås av användare. Alla förtroenden mellan domäner i en Active Directory-skog är transitiva och tvåvägsförtroende. Så det finns inget behov av att skapa ett förtroende mellan domäner i samma Active Directory-skog, men du måste skapa ett förtroende mellan domäner i olika Active Directory-skogar om du behöver tillåta användare från en domän att komma åt resurser i en annan domän i en annan Active Directory-skog. I den här artikeln beskrivs tillgängliga förtroendetyper i Windows Server 2016 och hur du kan hantera dem med hjälp av de inbyggda verktygen som skickas när du installerar Active Directory på en Windows Server 2016-dator.

typer av Active Directory trusts

det finns fyra typer av Active Directory trusts tillgängliga — externa trusts, realm trusts, forest trusts och shortcut trusts. Var och en förklaras nedan:

  • externt förtroende: du skapar bara ett externt förtroende om resurserna finns i en annan Active Directory-skog. Ett externt förtroende är alltid nontransitive och det kan vara en enkelriktad eller tvåvägs förtroende.
  • Realm trust: Realm trusts skapas alltid mellan Active Directory-skogen och en icke-Windows Kerberos-katalog som eDirectory, Unix Directory, etc. Förtroendet kan vara transitivt och icke-transitivt och förtroenderiktningen kan vara enkelriktad eller tvåvägs. Om du kör olika kataloger i din produktionsmiljö och behöver tillåta användare att komma åt resurser i någon av katalogerna måste du skapa ett realm trust.
  • Skogsförtroende: du måste skapa ett skogsförtroende om du behöver tillåta att resurser delas mellan Active Directory-skogar. Skogsförtroende är alltid transitiva och riktningen kan vara enkelriktad eller tvåvägs.
  • Genvägsförtroende: Du kanske vill skapa ett genvägsförtroende mellan domäner i samma Active Directory-skog om du behöver förbättra användarinloggningsupplevelsen. Genvägsförtroendet är alltid transitivt och riktningen kan vara enkelriktad eller tvåvägs.

viktiga punkter om Active Directory trusts

När du skapar Active Directory trusts, notera följande punkter:

  • Du måste ha tillräckliga behörigheter för att utföra förtroendeskapande operation. Som ett minimum måste du vara en del av säkerhetsgruppen för domänadministratörer eller företagsadministratörer eller så måste du ha fått nödvändiga behörigheter för att skapa förtroenden.
  • som en del av operationen för att skapa förtroende måste du verifiera förtroendet mellan två destinationer. Verifiering kan göras med hjälp av Active Directory-domäner och litar snap-in eller Netdom kommandoradsverktyg.
  • när du skapar externa eller skogsförtroende kan du välja omfattning för autentisering för användare. Med selektiv autentisering kan du begränsa åtkomsten till endast de identiteter i en betrodd Active Directory-skog som har fått behörigheter till resursdatorer i förtroende Active Directory-skogen. Scenariot begränsa åtkomst uppnås genom att använda funktionen selektiv autentisering, som endast är tillämplig för externa och skogsförtroende.

hur man skapar ett förtroende

Du kan använda Active Directory-domäner och förtroenden snap-in eller Netdom kommandoradsverktyg för att skapa förtroenden som förklaras ovan. Om du till exempel vill skapa ett externt förtroende med snapin-modulen Active Directory-domäner och förtroenden följer du stegen:

  1. Typ domän.msc i sökfältet i Start-menyn.
  2. högerklicka på domännoden och klicka sedan på egenskapsåtgärden.
  3. på fliken förtroenden klickar du på det nya förtroendet och klickar sedan på Nästa för att visa stegen.
  4. skriv in domänens DNS-namn i fältet Trust Name och klicka sedan på Nästa knapp.
  5. i listrutan Förtroendetyp väljer du den typ av förtroende du vill skapa. Eftersom vi skapar ett externt förtroende väljer du externt förtroende och klickar sedan på Nästa knapp.
  6. på sidan där det står ”Förtroenderiktning” väljer du riktning och följer sedan stegen på skärmen för att fortsätta skapa förtroendet.

för att skapa ett externt förtroende med netdom kommandoradsverktyg, kör det här kommandot:

Netdom Trust <TrustingDomain> /D:<TrustedDomain> /Add

<TrustingDomain> I kommandot ovan är DNS-domännamnet för den tillförlitliga domänen och <TrustedDomain> är DNS-domännamnet på domänen som kommer att lita på förtroendet.

verifiera förtroenden

När du har skapat förtroenden kan du verifiera dem med hjälp av snapin-modulen Active Directory-domäner och förtroenden eller netdom-kommandoradsverktyget, men det är bäst att verifiera förtroendena med hjälp av netdom-kommandoradsverktyget. Allt du behöver göra är att ange DNS-domännamnen för tillförlitliga och betrodda domäner och sedan lägga till ”/Verify”-omkopplaren som visas i kommandot nedan:

Netdom Trust <TrustingDomain> /D:<TrustedDomain> /Verify

Även om det är enkelt att skapa förtroende med Active Directory-domänerna och litar på sanp-in, när det gäller att verifiera förtroendet, är det meningsfullt att använda netdom-kommandoradsverktyget eftersom det låter dig inkludera verifieringskommandot i en batchfil och köra den varje vecka för att förtroendet är på plats.

Fotokredit: Wikimedia

Lämna ett svar

Din e-postadress kommer inte publiceras.