Principy vztahů důvěryhodnosti

Vztah důvěryhodnosti se zřizuje mezi doménami a umožňuje, aby uživatelé v jedné doméně byli řadičem domény ověřeni v jiné doméně.

V operačním systému Windows NT 4.0 jsou vztahy důvěryhodnosti omezeny na dvě domény, přičemž vztah důvěryhodnosti je nepřenositelný a jednosměrný. V následujícím obrázku je nepřenositelný jednosměrný vztah důvěryhodnosti znázorněn rovnou šipkou směřující do důvěryhodné domény.

Všechny vztahy důvěryhodnosti v doménových strukturách se systémy Windows 2000 Server, Windows Server 2003, Windows Server 2008 a Windows Server 2008 R2jsou přenositelné a obousměrné. Z tohoto důvodu jsou důvěryhodné obě domény ve vztahu důvěryhodnosti. Jak je znázorněno na následujícím obrázku, znamená to, že pokud doména A důvěřuje doméně B a doména B důvěřuje doméně C, uživatelé z domény C mají přístup k prostředkům v doméně A (pokud jsou jim přiřazena příslušná oprávnění). Vztahy důvěryhodnosti mohou spravovat pouze členové skupiny Domain Admins.

Řadič domény se systémem Windows Server 2008 nebo Windows Server 2008 R2 ověřuje uživatele a aplikace pomocí jednoho z těchto dvou protokolů: Kerberos verze 5 (V5) nebo NTLM. Protokol Kerberos V5 je výchozím protokolem pro počítače se systémem Windows 2000, Windows XP Professional, Windows Server 2003, Windows Server 2008 nebo Windows Server 2008 R2. Pokud některý počítač v transakci nepodporuje protokol Kerberos V5, použije se protokol NTLM.

Při použití protokolu Kerberos V5 si klient od řadiče domény v doméně svého účtu vyžádá lístek na server v důvěřující doméně. Tento lístek je vystaven prostředníkem, kterému důvěřuje jak klient, tak server. Klient předloží tento důvěryhodný lístek serveru v důvěřující doméně pro účely ověření. Další informace naleznete v článku Ověřování pomocí protokolu Kerberos V5 (https://go.microsoft.com/fwlink/?LinkId=81795) (stránka může být v angličtině).

Pokud se klient pokusí získat přístup k prostředkům na serveru v jiné doméně pomocí ověřování NTLM, musí server obsahující tento prostředek kontaktovat řadič domény v doméně účtu klienta a ověřit pověření účtu.

Objekty důvěryhodné domény (TDO) jsou objekty představující jednotlivé vztahy důvěryhodnosti v rámci konkrétní domény. Při každém vytvoření vztahu důvěryhodnosti je vytvořen jedinečný objekt důvěryhodné domény a uložen ve své doméně (v kontejneru System). Objekt důvěryhodné domény obsahuje atributy, například přenositelnost a typ vztahu důvěryhodnosti a názvy protějších domén.

V objektech důvěryhodné domény pro vztah důvěryhodnosti doménové struktury jsou uloženy další atributy, které identifikují všechny důvěryhodné obory názvů z partnerské doménové struktury. Mezi tyto atributy patří názvy větví doménové struktury, přípony hlavního uživatelského jména (UPN), přípony hlavního názvu služby (SPN) a obory názvů identifikátoru zabezpečení (SID).

Další informace o vztazích důvěryhodnosti domény naleznete v článku Technologie pro vztahy důvěryhodnosti (https://go.microsoft.com/fwlink/?LinkId=92695) (stránka může být v angličtině). Další informace o vztazích důvěryhodnosti naleznete v článku Návrh strategie pro autorizaci prostředků (https://go.microsoft.com/fwlink/?LinkId=92696) (stránka může být v angličtině).