Informazioni sui trust

Un trust è una relazione, stabilita tra domini, che consente agli utenti in un dominio di essere autenticati da un controller di dominio nell'altro dominio.

Nel sistema operativo Windows NT® 4.0, i trust sono limitati a due domini e la relazione di trust è non transitiva e unidirezionale. Nella figura seguente il trust non transitivo unidirezionale è indicato dalla freccia diritta rivolta verso il dominio trusted.

Tutti i trust nelle foreste Windows 2000 Server, Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2 sono transitivi e bidirezionali. Pertanto, entrambi i domini in una relazione di trust sono trusted. Come illustrato nella figura seguente, questo significa che se il Dominio A ha una relazione di trust con il Dominio B e il Dominio B ha una relazione di trust con il Dominio C, gli utenti del Dominio C possono accedere alle risorse del Dominio A (quando dispongano delle autorizzazioni corrette). Solo i membri del gruppo Domain Admins possono gestire le relazioni di trust.

Un controller di dominio in cui è in esecuzione Windows Server 2008 o Windows Server 2008 R2 esegue l'autenticazione di utenti e applicazioni utilizzando uno dei due protocolli seguenti: il protocollo Kerberos versione 5 (V5) o NTLM. Il protocollo Kerberos V5 è il protocollo predefinito per i computer che eseguono Windows 2000, Windows XP Professional, Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2. Se un computer in una transazione non supporta il protocollo Kerberos V5, viene utilizzato il protocollo NTLM.

Con il protocollo Kerberos V5, il client richiede un ticket da un controller di dominio nel proprio dominio account al server nel dominio trusting. Questo ticket viene rilasciato da un intermediario trusted dal client e dal server. Il client presenta questo ticket trusted al server nel dominio trusting per l'autenticazione. Per ulteriori informazioni, visitare la pagina relativa all'autenticazione Kerberos V5 (https://go.microsoft.com/fwlink/?LinkId=81795).

Quando un client tenta di accedere alle risorse su un server in un altro dominio utilizzando l'autenticazione NTLM, il server cui appartiene la risorsa deve contattare un controller di dominio nel dominio dell'account del cliente per verificare le credenziali dell'account.

Gli oggetti dominio trusted (TDO) sono oggetti che rappresentano ogni relazione di trust in un particolare dominio. Ogni volta che viene creato un trust, un TDO univoco viene creato e archiviato nel relativo dominio (nel contenitore del file system). Attributi quali la transitività dei trust, il tipo e i nomi di dominio reciproci sono rappresentanti nel TDO.

Nei TDO dei trust tra foreste sono archiviati attributi aggiuntivi per identificare tutti gli spazi dei nomi trusted dalla foresta del partner. Questi attributi includono nomi di alberi di dominio, suffissi di nome dell'entità utente (UPN), suffissi di nome principale di servizio (SPN) e spazi dei nomi degli ID di sicurezza (SID).

Per ulteriori informazioni su trust tra domini, vedere la pagina relativa alle tecnologie di trust (https://go.microsoft.com/fwlink/?LinkId=92695). Per ulteriori informazioni sulle relazioni di stampa, vedere la pagina relativa alla definizione di una strategia di autorizzazione alle risorse (https://go.microsoft.com/fwlink/?LinkId=92696).