Vertrouwensrelaties

Een vertrouwensrelatie is een relatie die u tot stand brengt tussen domeinen en die gebruikers in het ene domein in staat stelt zich aan te melden bij een domeincontroller in het andere domein.

Bij het besturingssysteem Windows NT 4.0 kan een vertrouwensrelatie alleen tot stand worden gebracht tussen twee domeinen, is deze altijd niet-transitief en is er altijd sprake van eenrichtingsverkeer. In de volgende afbeelding wordt de niet-transitieve eenrichtingsvertrouwensrelatie aangegeven door middel van de rechte pijl die naar het vertrouwde domein wijst.

Alle vertrouwensrelaties in forests met Windows 2000 Server, Windows Server 2003, Windows Server 2008 en Windows Server 2008 R2 zijn transitieve tweerichtingsvertrouwensrelaties. Beide domeinen in een vertrouwensrelatie worden dus vertrouwd. Zoals u in de volgende afbeelding ziet, betekent dit dat als domein A domein B vertrouwt en domein B domein C, gebruikers uit domein C toegang hebben tot bronnen in domein A (op voorwaarde dat de juiste machtigingen zijn toegewezen). Alleen leden van de groep Domeinadministrators mogen vertrouwensrelaties beheren.

Op een domeincontroller waarop Windows Server 2008 of Windows Server 2008 R2 wordt uitgevoerd, worden gebruikers en toepassingen via een van de twee volgende protocollen geverifieerd: het Kerberos V5-protocol (versie 5) of NTLM. Het Kerberos V5-protocol is het standaardprotocol voor computers waarop Windows 2000, Windows XP Professional, Windows Server 2003, Windows Server 2008 of Windows Server 2008 R2 wordt uitgevoerd. Als een computer in een transactie het Kerberos-protocol V5 niet ondersteunt, wordt het NTLM-protocol gebruikt.

Bij het Kerberos-protocol V5 vraagt de client een ticket aan bij een domeincontroller in het bijbehorende accountdomein voor de server in het vertrouwende domein. Dit ticket wordt uitgegeven door een tussenstation dat door zowel client als server wordt vertrouwd. De client presenteert dit vertrouwde ticket ter verificatie aan de server in het vertrouwende domein. Zie het onderwerp over Kerberos V5-verificatie (https://go.microsoft.com/fwlink/?LinkId=81795) voor meer informatie.

Wanneer een client toegang probeert te verkrijgen tot bronnen op een server in een ander domein via NTLM-verificatie, moet de server die de bron bevat contact opnemen met een domeincontroller in het accountdomein van de client om de accountreferenties te controleren.

Vertrouwde domeinobjecten (TDO of Trusted Domain Objects) vertegenwoordigen de afzonderlijke vertrouwensrelaties binnen een bepaald domein. Telkens wanneer een vertrouwensrelatie tot stand wordt gebracht, wordt er een uniek TDO gemaakt en opgeslagen in het bijbehorende domein (in de container System). In het TDO worden kenmerken opgeslagen met informatie over de transitiviteit van de vertrouwensrelatie, het type relatie en de wederzijdse domeinnamen.

In de TDO's voor forest-vertrouwensrelaties worden aanvullende kenmerken opgeslagen waarin alle vertrouwde naamruimten van het partner-forest worden aangeduid. Tot deze kenmerken behoren de namen van domeinstructuren, UPN-achtervoegsels (User Principal Name), SPN-achtervoegsels (Service Principal Name) en SID-naamruimten (Security Identifier).

Zie het onderwerp over vertrouwenstechnologieën (https://go.microsoft.com/fwlink/?LinkId=92695) voor meer informatie over domeinvertrouwensrelaties. Zie het onderwerp over het ontwerpen van een strategie voor bronautorisatie (https://go.microsoft.com/fwlink/?LinkId=92696) voor meer informatie over vertrouwensrelaties.