Transitività dei trust

La transitività determina se un trust può essere esteso all'esterno dei due domini tra i quali è stato creato. È possibile utilizzare un trust transitivo per estendere le relazioni di trust ad altri domini. È possibile utilizzare un trust non transitivo per impedire le relazioni di trust con altri domini.

Trust transitivo

Ogni volta che si crea un nuovo dominio in una foresta, una relazione di trust transitiva bidirezionale viene automaticamente creata tra il nuovo dominio e il relativo dominio padre. Se domini figlio vengono aggiunti al nuovo dominio, il percorso di trust si muove verso l'alto nella gerarchia dei domini, estendendo il percorso di trust iniziale creato tra il nuovo dominio e il relativo dominio padre.

Le relazioni di trust transitive si muovono verso l'alto all'interno di un albero di dominio man mano che esso viene creato, creando trust transitivi tra tutti i domini nell'albero di dominio.

Le richieste di autenticazione seguono questi percorsi di trust. Per tale motivo, gli account da qualsiasi dominio nella foresta possono essere autenticati in qualsiasi altro dominio nella foresta. Con un singolo processo di accesso, gli account con le autorizzazioni adeguate possono accedere alle risorse in qualsiasi dominio nella foresta.

Oltre ai trust transitivi predefiniti creati in una foresta Windows Server 2008 o Windows Server 2008 R2, utilizzando la Creazione guidata nuova relazione trust è possibile creare manualmente i trust transitivi seguenti:

  • Trust di collegamento: Un trust transitivo tra un dominio nello stesso albero di dominio o foresta che abbrevia il percorso di trust in un albero di dominio o foresta ampia e complessa.

  • Trust tra foreste: Un trust transitivo tra una dominio radice della foresta e un secondo dominio radice della foresta.

  • Trust area di autenticazione: Un trust transitivo tra un dominio Active Directory e un'area di autenticazione Kerberos V5. Per ulteriori informazioni sulle aree di autenticazione Kerberos V5, vedere la pagina relativa all'autenticazione Kerberos V5 (https://go.microsoft.com/fwlink/?LinkId=92699).

Nella figura seguente viene visualizzata una relazione di trust transitiva bidirezionale tra l'albero di dominio A e l'albero di dominio 1. Tutti i domini nell'albero di dominio A e tutti i domini nell'albero di dominio 1 hanno relazioni di trust transitive per impostazione predefinita. Come risultato, gli utenti nell'albero di dominio A possono accedere alle risorse dei domini nell'albero di dominio 1 e gli utenti nell'albero di dominio 1 possono accedere alle risorse nell'albero di Dominio A, quando le autorizzazioni corrette sono assegnate a livello di risorsa.

Un percorso di trust bidirezionale transitivo collega i domini

Per ulteriori informazioni sui tipi di trust, vedere Informazioni sui tipi di trust.

Trust non transitivo

Un trust non transitivo è limitato ai due domini nella relazione di trust. Non si trasmette a eventuali altri domini nella foresta. Un trust non transitivo può essere bidirezionale o unidirezionale. I trust non transitivi sono unidirezionali per impostazione predefinita, sebbene sia possibile creare una relazione bidirezionale anche creando due trust unidirezionali.

In sintesi, i trust tra domini non transitivi sono l'unica forma di relazione di trust possibile tra gli elementi seguenti:

  • Un dominio Windows Server 2008 o Windows Server 2008 R2 e un dominio Windows NT

  • Un dominio Windows Server 2008 o Windows Server 2008 R2 in una foresta e un dominio in un'altra foresta (quando le foreste non sono unite da un trust tra foreste)

È possibile utilizzare la Creazione guidata nuova relazione trust per creare manualmente i trust non transitivi seguenti:

  • Trust esterno: Un trust non transitivo tra un dominio Windows Server 2008 o Windows Server 2008 R2 e un dominio Windows NT o un dominio Windows 2000, Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2 in un'altra foresta.

  • Trust area di autenticazione: Un trust non transitivo tra un dominio Active Directory e un'area di autenticazione Kerberos versione 5 (V5). Per ulteriori informazioni sulle aree di autenticazione Kerberos V5, vedere la pagina relativa all'autenticazione Kerberos V5 (https://go.microsoft.com/fwlink/?LinkId=92699).

Per ulteriori informazioni sui tipi di trust, vedere Informazioni sui tipi di trust.

Ulteriori riferimenti


Argomenti della Guida