Przechodniość zaufania

Przechodniość określa, czy zaufanie może zostać rozszerzone poza dwie domeny, między którymi zostało ustanowione. Zaufania przechodniego można używać do rozszerzania relacji zaufania o inne domeny. Zaufania nieprzechodniego można używać do odmawiania zaufania innym domenom.

Zaufanie przechodnie

Za każdym razem, gdy w lesie jest tworzona nowa domena, między nową domeną a jej domeną nadrzędną jest automatycznie tworzona dwukierunkowa przechodnia relacja zaufania. Jeśli do tej nowej domeny zostaną dodane domeny podrzędne, ścieżka zaufania będzie przebiegać w górę w hierarchii domen, rozszerzając początkową ścieżkę zaufania utworzoną między nową domeną a jej domeną nadrzędną.

Przechodnie relacje zaufania rozwijają się w górę drzewa domen podczas jego formowania. W ten sposób są tworzone przechodnie relacje zaufania między wszystkimi domenami w drzewie domen.

Te ścieżki zaufania przebywają żądania uwierzytelnień. W ten sposób konta z dowolnej domeny w lesie mogą być uwierzytelniane w dowolnej innej domenie w lesie. Za pomocą procesu logowania jednokrotnego konta o odpowiednich uprawnieniach mogą uzyskiwać dostęp do zasobów w dowolnej domenie w lesie.

Oprócz domyślnych zaufań przechodnich, które są ustanowione w lesie systemu Windows Server 2008 lub Windows Server 2008 R2, za pomocą Kreatora nowego zaufania można ręcznie tworzyć następujące zaufania przechodnie:

  • Zaufanie skrótu. Zaufanie przechodnie między domenami w tym samym drzewie domen lub lesie, które skraca ścieżkę zaufania w dużym i złożonym drzewie domen lub lesie.

  • Zaufanie lasu. Zaufanie przechodnie między domeną główną lasu a domeną główną innego lasu.

  • Zaufanie obszaru. Zaufanie przechodnie między domeną usługi Active Directory a obszarem protokołu Kerberos w wersji 5. Aby uzyskać więcej informacji na temat obszarów protokołu Kerberos w wersji 5, zobacz stronę poświęconą uwierzytelnianiu Kerberos w wersji 5 (https://go.microsoft.com/fwlink/?LinkId=92699) (strona może zostać wyświetlona w języku angielskim).

Na poniższej ilustracji przedstawiono dwukierunkową przechodnią relację zaufania między drzewem domen A i drzewem domen 1. Wszystkie domeny w drzewie domen A oraz wszystkie domeny w drzewie domen 1 mają domyślnie przechodnie relacje zaufania. W rezultacie użytkownicy w drzewie domen A mogą uzyskiwać dostęp do zasobów w domenach w drzewie domen 1, a użytkownicy w drzewie domen 1 mogą uzyskiwać dostęp do zasobów w drzewie domen A, o ile na poziomie zasobu zostaną przypisane odpowiednie uprawnienia.

Dwukierunkowa ścieżka zaufania przechodniego łącząca domeny

Aby uzyskać więcej informacji na temat typów zaufania, zobacz temat Opis typów zaufania.

Zaufanie nieprzechodnie

Zaufanie nieprzechodnie jest ograniczone do dwóch domen w relacji zaufania. Jego zasięg nie rozciąga się na żadne inne domeny w lesie. Zaufanie nieprzechodnie może być zaufaniem jednokierunkowym lub dwukierunkowym. Domyślnie nieprzechodnie relacje zaufania są jednokierunkowe, chociaż można też tworzyć relacje dwukierunkowe przez utworzenie dwóch jednokierunkowych relacji zaufania.

Podsumowując, nieprzechodnie relacje zaufania domen to jedyne formy relacji zaufania, które mogą zostać ustanowione między:

  • domeną systemu Windows Server 2008 lub Windows Server 2008 R2 a domeną systemu Windows NT,

  • domeną systemu Windows Server 2008 lub Windows Server 2008 R2 w jednym lesie a domeną w innym lesie (gdy lasy nie są połączone przy użyciu zaufania lasu).

Za pomocą Kreatora nowego zaufania można ręcznie tworzyć następujące nieprzechodnie relacje zaufania:

  • Zaufanie zewnętrzne. Zaufanie nieprzechodnie między domeną systemu Windows Server 2008 lub Windows Server 2008 R2 a domeną systemu Windows NT albo domeną systemu Windows 2000, Windows Server 2003, Windows Server 2008 lub Windows Server 2008 R2 w innym lesie.

  • Zaufanie obszaru. Zaufanie nieprzechodnie między domeną usługi Active Directory a obszarem protokołu Kerberos w wersji 5. Aby uzyskać więcej informacji na temat obszarów protokołu Kerberos w wersji 5, zobacz stronę poświęconą uwierzytelnianiu Kerberos w wersji 5 (https://go.microsoft.com/fwlink/?LinkId=92699) (strona może zostać wyświetlona w języku angielskim).

Aby uzyskać więcej informacji na temat typów zaufania, zobacz temat Opis typów zaufania.

Dodatkowe informacje


Spis treści