Kierunek zaufania

Typ zaufania oraz przypisany temu zaufaniu kierunek mają wpływ na ścieżkę zaufania używaną do uwierzytelniania. Ścieżka zaufania to seria relacji zaufania, przez które muszą przejść żądania uwierzytelnień między domenami. Zanim użytkownik będzie mógł uzyskać dostęp do zasobu w innej domenie, system zabezpieczeń działający na kontrolerach domeny z systemem Windows Server 2008 lub Windows Server 2008 R2 musi ustalić, czy domena ufająca (domena zawierająca zasób, do którego użytkownik próbuje uzyskać dostęp) ma relację zaufania z domeną zaufaną (domeną logowania użytkownika). Aby to ustalić, system zabezpieczeń przetwarza ścieżkę zaufania między kontrolerem domeny z domeny ufającej a kontrolerem domeny z domeny zaufanej. Na poniższej ilustracji wskazano ścieżkę zaufania przy użyciu strzałki pokazującej kierunek zaufania.

Kierunek ścieżki zaufania

Wszystkie relacje zaufania domen są relacjami tylko między dwiema domenami: domeną ufającą i domeną zaufaną.

Zaufanie jednokierunkowe

Zaufanie jednokierunkowe to jednokierunkowa ścieżka uwierzytelniania utworzona między dwiema domenami. Oznacza to, że w przypadku zaufania jednokierunkowego między domeną A i domeną B użytkownicy z domeny A mogą uzyskiwać dostęp do zasobów z domeny B, ale użytkownicy z domeny B nie mogą uzyskiwać dostępu do zasobów z domeny A. Niektóre jednokierunkowe relacje zaufania mogą być przechodnie lub nieprzechodnie - w zależności od typu utworzonego zaufania. Aby uzyskać więcej informacji na temat typów zaufania, zobacz temat Opis typów zaufania.

Zaufanie dwukierunkowe

Wszystkie zaufania domen w lesie systemu Windows Server 2008 lub Windows Server 2008 R2 są dwukierunkowe i przechodnie. Podczas tworzenia nowej domeny podrzędnej między tą nową domeną podrzędną a jej domeną nadrzędną jest automatycznie tworzona dwukierunkowa przechodnia relacja zaufania. W przypadku zaufania dwukierunkowego domena A ufa domenie B oraz domena B ufa domenie A. To oznacza, że żądania uwierzytelnień mogą być przekazywane między tymi dwoma domenami w obu kierunkach. Niektóre dwukierunkowe relacje zaufania mogą być przechodnie lub nieprzechodnie w zależności od typu utworzonego zaufania. Aby uzyskać więcej informacji, zobacz temat Opis typów zaufania.

Domena systemu Windows Server 2008 lub Windows Server 2008 R2 można ustanawiać jednokierunkowe lub dwukierunkowe zaufania z następującymi domenami i obszarami:

  • domenami systemu Windows Server 2008 lub Windows Server 2008 R2 w tym samym lesie,

  • domenami systemu Windows Server 2008 lub Windows Server 2008 R2 w innym lesie,

  • domenami systemu Windows Server 2003 w tym samym lesie,

  • domenami systemu Windows Server 2003 w innym lesie,

  • domenami systemu Windows NT 4.0,

  • obszarami używającymi protokołu Kerberos w wersji 5.

Aby uzyskać więcej informacji na temat protokołu Kerberos w wersji 5, zobacz stronę poświęconą uwierzytelnianiu Kerberos w wersji 5 (https://go.microsoft.com/fwlink/?LinkId=92699) (strona może zostać wyświetlona w języku angielskim).

Dodatkowe informacje


Spis treści