Principy přenositelnosti vztahu důvěryhodnosti

Přenositelnost vztahu důvěryhodnosti

Přenositelnost určuje, zda lze vztah důvěryhodnosti rozšířit mimo dvě domény, mezi kterými byl vztah důvěryhodnosti vytvořen. Přenositelný vztah důvěryhodnosti se používá k rozšíření vztahů důvěryhodnosti na jiné domény. Nepřenositelný vztah důvěryhodnosti se používá k odepření vztahů důvěryhodnosti s jinými doménami.

Přenositelný vztah důvěryhodnosti

Při každém vytvoření nové domény v doménové struktuře se automaticky vytvoří přenositelný vztah důvěryhodnosti mezi novou doménou a její nadřazenou doménou. Pokud jsou do nové domény přidány podřízené domény, pokračuje důvěryhodná cesta vzhůru hierarchií domény a rozšiřuje tak počáteční důvěryhodnou cestu vytvořenou mezi novou doménou a její nadřazenou doménou.

Přenositelné vztahy důvěryhodnosti pokračují při formování větví doménové struktury směrem vzhůru a vytvářejí přenositelné vztahy důvěryhodnosti mezi všemi doménami v dané větvi doménové struktury.

Požadavky na ověření procházejí těmito důvěryhodnými cestami. Účty z libovolné domény v doménové struktuře proto mohou být ověřeny u jakékoli jiné domény v této doménové struktuře. Při použití jednotného přihlašování mají účty s příslušnými oprávněními přístup k prostředkům v libovolné doméně v doménové struktuře.

Kromě těchto výchozích přenositelných vztahů důvěryhodnosti, které jsou vytvářeny v doménové struktuře Windows Server 2008 nebo Windows Server 2008 R2, lze pomocí Průvodce vytvořením vztahu důvěryhodnosti ručně vytvořit následující přenositelné vztahy důvěryhodnosti:

Zkrácená cesta vztahu důvěryhodnosti: Přenositelný vztah důvěryhodnosti mezi doménou ve stejné větvi doménové struktury nebo ve stejné doménové struktuře, který zkracuje důvěryhodnou cestu v rozsáhlých a komplexních větvích nebo doménových strukturách.
Vztah důvěryhodnosti doménové struktury: Přenositelný vztah důvěryhodnosti mezi kořenovou doménou struktury a kořenovou doménou druhé struktury.
Vztah důvěryhodnosti sféry: Přenositelný vztah důvěryhodnosti mezi doménou služby Active Directory a sférou protokolu Kerberos V5. Další informace o sférách protokolu Kerberos V5 naleznete v článku Ověřování pomocí protokolu Kerberos V5 (https://go.microsoft.com/fwlink/?LinkId=92699) (stránka může být v angličtině).

Následující obrázek znázorňuje obousměrný přenositelný vztah důvěryhodnosti mezi větví domény A a větví domény 1. Mezi všemi doménami ve větvi domény A a všemi doménami ve větvi domény 1 jsou ve výchozím nastavení vytvořeny přenositelné vztahy důvěryhodnosti. Uživatelé ve větvi domény A mají proto přístup k prostředkům v doménách ve větvi domény 1 a uživatelé ve větvi domény 1 mají přístup k prostředkům ve větvi domény A, pokud jsou těmto prostředkům přidělena příslušná oprávnění.

Obousměrná přenosná důvěryhodná cesta spojuje domény

Další informace o typech vztahů důvěryhodnosti naleznete v tématu Principy typů vztahů důvěryhodnosti.

Nepřenositelný vztah důvěryhodnosti

Nepřenositelný vztah důvěryhodnosti je omezen na dvě domény v tomto vztahu důvěryhodnosti. Tento vztah se nerozšiřuje na další domény v doménové struktuře. Nepřenositelný vztah důvěryhodnosti může být jednosměrný nebo obousměrný. Nepřenositelné vztahy důvěryhodnosti jsou ve výchozím nastavení jednosměrné, ačkoli vytvořením dvou jednosměrných vztahů důvěryhodnosti lze vytvořit obousměrný vztah.

Nepřenositelné vztahy důvěryhodnosti domény jsou jedinou formou vztahu důvěryhodnosti, který lze vytvořit mezi:

doménou Windows Server 2008 nebo Windows Server 2008 R2 a doménou Windows NT,
doménou Windows Server 2008 nebo Windows Server 2008 R2 v jedné doménové struktuře a doménou v jiné doménové struktuře (pokud tyto doménové struktury nejsou spojeny vztahem důvěryhodnosti doménové struktury).

Pomocí Průvodce vytvořením vztahu důvěryhodnosti lze ručně vytvořit následující nepřenositelné vztahy důvěryhodnosti:

Externí vztah důvěryhodnosti: Nepřenositelný vztah důvěryhodnosti mezi doménou Windows Server 2008 nebo Windows Server 2008 R2 a doménou Windows NT, Windows 2000, Windows Server 2003, Windows Server 2008 nebo Windows Server 2008 R2 v jiné doménové struktuře.
Vztah důvěryhodnosti sféry: Nepřenositelný vztah důvěryhodnosti mezi doménou služby Active Directory a sférou protokolu Kerberos verze 5 (V5). Další informace o sférách protokolu Kerberos V5 naleznete v článku Ověřování pomocí protokolu Kerberos V5 (https://go.microsoft.com/fwlink/?LinkId=92699) (stránka může být v angličtině).