Opis relacji zaufania

Zaufanie to ustanawiana między domenami relacja, która umożliwia uwierzytelnianie użytkowników z jednej domeny przy użyciu kontrolera domeny z innej domeny.

W systemie operacyjnym Windows NT 4.0 relacje zaufania są ograniczone do dwóch domen, są nieprzechodnie i jednokierunkowe. Na poniższej ilustracji przedstawiono nieprzechodnie jednokierunkowe zaufanie przy użyciu prostej strzałki wskazującej domenę zaufaną.

Wszystkie zaufania w lasach systemów Windows 2000 Server, Windows Server 2003, Windows Server 2008 i Windows Server 2008 R2 są przechodnie i dwukierunkowe. W ten sposób obie domeny w relacji zaufania są zaufane. Tak jak to pokazano na poniższej ilustracji, oznacza to, że jeśli domena A ufa domenie B oraz domena B ufa domenie C, to użytkownicy z domeny C mogą uzyskiwać dostęp do zasobów z domeny A, o ile mają przypisane odpowiednie uprawnienia. Relacjami zaufania mogą zarządzać tylko członkowie grupy Administratorzy domeny.

Kontroler domeny z systemem Windows Server 2008 lub Windows Server 2008 R2 uwierzytelnia użytkowników i aplikacje przy użyciu jednego z dwóch protokołów: protokołu Kerberos w wersji 5 lub protokołu NTLM. Protokół Kerberos V5 jest protokołem domyślnym dla komputerów z systemami Windows 2000, Windows XP Professional, Windows Server 2003, Windows Server 2008 i Windows Server 2008 R2. Jeśli któryś z komputerów uczestniczących w transakcji nie obsługuje protokołu Kerberos w wersji 5, jest używany protokół NTLM.

W przypadku protokołu Kerberos w wersji 5 klient żąda od kontrolera domeny w swojej domenie konta biletu do serwera w domenie ufającej. Bilet jest wystawiany przez pośrednika, któremu ufa klient i serwer. Klient przedstawia ten zaufany bilet serwerowi w domenie ufającej na potrzeby uwierzytelniania. Aby uzyskać więcej informacji, zobacz stronę poświęconą uwierzytelnianiu z użyciem protokołu Kerberos w wersji 5 (https://go.microsoft.com/fwlink/?LinkId=81795) (strona może zostać wyświetlona w języku angielskim).

W przypadku, gdy klient próbuje uzyskać dostęp do zasobów na serwerze w innej domenie przy użyciu uwierzytelniania NTLM, serwer zawierający ten zasób musi skontaktować się z kontrolerem domeny w domenie konta klienta, aby zweryfikować poświadczenia tego konta.

Obiekty domen zaufanych (TDO) to obiekty reprezentujące poszczególne relacje zaufania w konkretnej domenie. Za każdym razem, gdy jest ustanawiane zaufanie, jest tworzony unikatowy obiekt domeny zaufanej, przechowywany w domenie (w kontenerze System). Obiekt domeny zaufanej zawiera reprezentacje atrybutów, takich jak przechodniość zaufania, jego typ oraz nazwa domeny z zaufaniem wzajemnym.

Obiekty domen zaufanych relacji zaufania lasów przechowują dodatkowe atrybuty służące do identyfikowania wszystkich zaufanych obszarów nazw w lesie partnerskim. Do tych atrybutów należą nazwy drzew domen, sufiksy głównych nazw użytkowników (UPN), sufiksy głównych nazw usług (SPN) oraz obszary nazw identyfikatorów zabezpieczeń (SID).

Aby uzyskać więcej informacji na temat relacji zaufania domen, zobacz stronę poświęconą technologiom zaufania (https://go.microsoft.com/fwlink/?LinkId=92695) (strona może zostać wyświetlona w języku angielskim). Aby uzyskać więcej informacji na temat relacji zaufania, zobacz stronę poświęconą projektowaniu strategii autoryzacji zasobów (https://go.microsoft.com/fwlink/?LinkId=92696) (strona może zostać wyświetlona w języku angielskim).