Vztahy důvěryhodnosti
Vztah důvěryhodnosti se zřizuje mezi doménami a umožňuje, aby uživatelé v jedné doméně byli řadičem domény ověřeni v jiné doméně.
Vztahy důvěryhodnosti v systému Windows NT
V operačním systému Windows NT 4.0 jsou vztahy důvěryhodnosti omezeny na dvě domény, přičemž vztah důvěryhodnosti je nepřenositelný a jednosměrný. V následujícím obrázku je nepřenositelný jednosměrný vztah důvěryhodnosti znázorněn rovnou šipkou směřující do důvěryhodné domény.
Vztahy důvěryhodnosti v operačních systémech Windows 2000 Server, Windows Server 2003 a Windows Server 2008 R2
Všechny vztahy důvěryhodnosti v doménových strukturách se systémy Windows 2000 Server, Windows Server 2003, Windows Server 2008 a Windows Server 2008 R2jsou přenositelné a obousměrné. Z tohoto důvodu jsou důvěryhodné obě domény ve vztahu důvěryhodnosti. Jak je znázorněno na následujícím obrázku, znamená to, že pokud doména A důvěřuje doméně B a doména B důvěřuje doméně C, uživatelé z domény C mají přístup k prostředkům v doméně A (pokud jsou jim přiřazena příslušná oprávnění). Vztahy důvěryhodnosti mohou spravovat pouze členové skupiny Domain Admins.
Protokoly pro vztahy důvěryhodnosti
Řadič domény se systémem Windows Server 2008 nebo Windows Server 2008 R2 ověřuje uživatele a aplikace pomocí jednoho z těchto dvou protokolů: Kerberos verze 5 (V5) nebo NTLM. Protokol Kerberos V5 je výchozím protokolem pro počítače se systémem Windows 2000, Windows XP Professional, Windows Server 2003, Windows Server 2008 nebo Windows Server 2008 R2. Pokud některý počítač v transakci nepodporuje protokol Kerberos V5, použije se protokol NTLM.
Při použití protokolu Kerberos V5 si klient od řadiče domény v doméně svého účtu vyžádá lístek na server v důvěřující doméně. Tento lístek je vystaven prostředníkem, kterému důvěřuje jak klient, tak server. Klient předloží tento důvěryhodný lístek serveru v důvěřující doméně pro účely ověření. Další informace naleznete v článku Ověřování pomocí protokolu Kerberos V5 (
Pokud se klient pokusí získat přístup k prostředkům na serveru v jiné doméně pomocí ověřování NTLM, musí server obsahující tento prostředek kontaktovat řadič domény v doméně účtu klienta a ověřit pověření účtu.
Objekty důvěryhodné domény
Objekty důvěryhodné domény (TDO) jsou objekty představující jednotlivé vztahy důvěryhodnosti v rámci konkrétní domény. Při každém vytvoření vztahu důvěryhodnosti je vytvořen jedinečný objekt důvěryhodné domény a uložen ve své doméně (v kontejneru System). Objekt důvěryhodné domény obsahuje atributy, například přenositelnost a typ vztahu důvěryhodnosti a názvy protějších domén.
V objektech důvěryhodné domény pro vztah důvěryhodnosti doménové struktury jsou uloženy další atributy, které identifikují všechny důvěryhodné obory názvů z partnerské doménové struktury. Mezi tyto atributy patří názvy větví doménové struktury, přípony hlavního uživatelského jména (UPN), přípony hlavního názvu služby (SPN) a obory názvů identifikátoru zabezpečení (SID).
Další informace o vztazích důvěryhodnosti domény naleznete v článku Technologie pro vztahy důvěryhodnosti (