A megbízhatósági kapcsolatok ismertetése

A megbízhatósági kapcsolat olyan tartományok között létrejött kapcsolat, amelyek segítségével az egyik tartomány felhasználóit a másik tartomány tartományvezérlője hitelesítheti.

Windows NT 4.0 operációs rendszerben a megbízhatósági kapcsolatok csak két tartomány között jöhetnek létre, és csak nem tranzitívak és egyirányúak lehetnek. Az alábbi ábrán a nem tranzitív, egyirányú megbízhatósági kapcsolatot egyenes, a megbízható tartományra mutató nyíl jelzi.

A Windows 2000 Server, a Windows Server 2003, a Windows Server 2008 és a Windows Server 2008 R2 rendszer erdőiben minden megbízhatósági kapcsolat tranzitív és kétirányú. Ezért a megbízhatósági kapcsolatban részt vevő mindkét tartomány megbízható. Mint az alábbi ábrán is látható, ez azt jelenti, hogy ha az A tartomány megbízik a B tartományban, a B tartomány pedig a C tartományban, a C tartomány felhasználói hozzáférhetnek az A tartomány erőforrásaihoz (a megfelelő engedélyek birtokában). A megbízhatósági kapcsolatokat csak a Tartománygazdák csoport tagjai kezelhetik.

A Windows Server 2008 vagy Windows Server 2008 R2 rendszerrel működő tartományvezérlők a felhasználókat és az alkalmazásokat a következő két protokoll egyikével hitelesítik: a Kerberos 5-ös verziójú (V5) protokollal vagy az NTLM protokollal. A Windows 2000, a Windows XP Professional, a Windows Server 200, a Windows Server 2008 és a Windows Server 2008 R2 rendszerrel működő számítógépek alapértelmezés szerint a Kerberos V5 protokollt használják. Ha a tranzakcióban részt vevő bármely számítógép nem támogatja a Kerberos V5 protokollt, a rendszer az NTLM protokollt használja.

A Kerberos V5 protokoll használata során az ügyfélszámítógép jegyet kér a fiókot tároló tartománytól a megbízható tartományban található kiszolgálóhoz. A jegyet egy köztes számítógép bocsátja ki, amelyben az ügyfél és a kiszolgáló egyaránt megbízik. Az ügyfél a megbízható jegyet a hitelesítéskor bemutatja a megbízható tartományban található kiszolgálónak. További információt a Kerberos V5 hitelesítés webhelyén (https://go.microsoft.com/fwlink/?LinkId=81795) talál (előfordulhat, hogy a lap angol nyelven jelenik meg).

Ha az ügyfél a másik tartományban található kiszolgálón lévő erőforráshoz NTLM-hitelesítéssel próbál hozzáférni, az erőforrást tartalmazó kiszolgálónak kapcsolatba kell lépnie az ügyfélfiók tartományában található tartományvezérlővel a fiók hitelesítő adatainak ellenőrzéséhez.

A megbízható tartományi objektumok olyan objektumok, amelyek az adott tartományon belüli összes megbízhatósági kapcsolatot jelölik. Minden megbízhatósági kapcsolat létrehozásakor a rendszer egyedi megbízható tartományi objektumot hoz létre, és az adott tartományban (a rendszertárolóban) tárolja. Az objektumban a rendszer attribútumokat (például a megbízhatósági kapcsolat tranzitivitását, típusát és az ellenkező tartomány nevét) tárolja.

Az erdőszintű bizalmi kapcsolatok megbízható tartományi objektumai további attribútumokat is tárolnak, amelyek a partner erdőjében található megbízható névterek azonosítására szolgálnak. Ezek az attribútumok a következők: tartományfanevek, egyszerű felhasználónevek utótagjai, egyszerű szolgáltatásnevek (SPN) utótagjai és biztonsági azonosítók névterei.

A tartományok megbízhatósági kapcsolatairól további információt a megbízhatósági technológiák webhelyén (https://go.microsoft.com/fwlink/?LinkId=92695) talál (előfordulhat, hogy a lap angol nyelven jelenik meg). A megbízhatósági kapcsolatokról további információt az Erőforrás-engedélyezési stratégia tervezése című témakörben, a következő webhelyen talál: https://go.microsoft.com/fwlink/?LinkId=92696 (előfordulhat, hogy a lap angol nyelven jelenik meg).