De richting van vertrouwensrelaties

Het type en de richting van de vertrouwensrelatie is van invloed op het vertrouwenspad dat wordt gebruikt voor verificatie. Een vertrouwenspad bestaat uit een reeks vertrouwensrelaties die moet worden gebruikt voor verificatieaanvragen tussen domeinen. Voordat een gebruiker toegang krijgt tot een bron in een ander domein, moet het beveiligingssysteem op domeincontrollers met Windows Server 2008 of Windows Server 2008 R2 bepalen of het vertrouwende domein (het domein met de bron waartoe de gebruiker toegang wenst) een vertrouwensrelatie heeft met het vertrouwde domein (het aanmeldingsdomein van de gebruiker). Het beveiligingssysteem 'berekent' hiervoor het vertrouwenspad tussen een domeincontroller in het vertrouwende domein en een domeincontroller in het vertrouwde domein. In de volgende afbeelding wordt het vertrouwenspad aangeduid door middel van een pijl die de richting van de vertrouwensrelatie aangeeft.

Alle domeinvertrouwensrelaties omvatten slechts twee domeinen: het vertrouwende domein en het vertrouwde domein.

Een eenrichtingsvertrouwensrelatie is een eenzijdig verificatiepad dat tot stand wordt gebracht tussen twee domeinen. Bij een eenrichtingsvertrouwensrelatie tussen domein A en domein B hebben gebruikers in domein A toegang tot bronnen in domein B. Gebruikers in domein B hebben echter geen toegang tot bronnen in domein A. Eenrichtingsvertrouwensrelaties zijn transitief of niet-transitief, afhankelijk van het type vertrouwensrelatie dat tot stand wordt gebracht. Zie Typen vertrouwensrelaties voor meer informatie over de diverse typen vertrouwensrelaties.

Alle domeinvertrouwensrelaties in een Windows Server 2008-forest of een Windows Server 2008 R2-forest zijn transitieve tweerichtingsvertrouwensrelaties. Wanneer een nieuw onderliggend domein wordt gemaakt, wordt er automatisch een transitieve tweerichtingsvertrouwensrelatie tot stand gebracht tussen het nieuwe onderliggende domein en het bovenliggende domein. Bij een tweerichtingsvertrouwensrelatie vertrouwt domein A domein B en vertrouwt domein B domein A. Dit betekent dat verificatieaanvragen in beide richtingen kunnen worden doorgegeven tussen de twee domeinen. Tweerichtingsvertrouwensrelaties zijn transitief of niet-transitief, afhankelijk van het type vertrouwensrelatie dat tot stand wordt gebracht. Zie Typen vertrouwensrelaties voor meer informatie.

Een- of tweerichtingsvertrouwensrelaties kunnen tot stand worden gebracht tussen een Windows Server 2008-domein of een Windows Server 2008 R2-domein en de volgende domeinen en realms:

• Windows Server 2008-domeinen of Windows Server 2008 R2-domeinen in hetzelfde forest
  
  
• Windows Server 2008-domeinen of Windows Server 2008 R2-domeinen in een ander forest
  
  
• Windows Server 2003-domeinen in hetzelfde forest
  
  
• Windows Server 2003-domeinen in een ander forest
  
  
• Windows NT 4.0-domeinen
  
  
• Kerberos V5-realms (versie 5)
  
  

Zie het onderwerp over Kerberos V5-verificatie (https://go.microsoft.com/fwlink/?LinkId=92699) voor meer informatie over het Kerberos V5-protocol.