Доверия

Доверие - это отношение, которое устанавливается между доменами и делает возможным проверку подлинности пользователей в одном домене контроллером домена в другом домене.

Доверия в Windows NT

В операционной системе Windows NT 4.0 доверия ограничиваются двумя доменами, а отношение доверия является нетранзитивным и односторонним. На следующей иллюстрации прямой стрелкой, указывающей на доверенный домен, показано нетранзитивное одностороннее доверие.

Направление пути доверия

Доверия в операционных системах Windows 2000 Server, Windows Server 2003, Windows Server 2008 и Windows Server 2008 R2

Все доверия в лесах Windows 2000 Server, Windows Server 2003, Windows Server 2008 и Windows Server 2008 R2 являются транзитивными и двусторонними. Поэтому в отношении доверия доверенными являются оба домена. Как показано на следующей иллюстрации, это означает, что если домен «A» доверяет домену «B», а домен «B» доверяет домену «C», то пользователи из домена «C» имеют доступ к ресурсам в домене «A» (если им назначены соответствующие разрешения). Управлять отношениями доверия могут только члены группы «Администраторы домена».

Транзитивное доверие в дереве доменов

Протоколы доверия

Контроллер домена, работающий под управлением Windows Server 2008 или Windows Server 2008 R2, проводит проверку подлинности пользователей и приложений с помощью одного из двух протоколов: протокола Kerberos версии 5 (V5) или NTLM. Протокол Kerberos V5 является протоколом по умолчанию для компьютеров, работающих под управлением Windows 2000, Windows XP Professional., Windows Server 2003, Windows Server 2008 и Windows Server 2008 R2. Если какой-либо из компьютеров в транзакции не поддерживает протокол Kerberos V5, используется протокол NTLM.

С помощью протокола Kerberos V5 клиент запрашивает билет у контроллера домена в домене своей учетной записи для доступа к серверу в доверяющем домене. Этот билет выдается посредником, которому доверяют клиент и сервер. Клиент предоставляет этот доверенный билет серверу в доверяющем домене для проверки подлинности. Дополнительные сведения см. в статье о проверке подлинности Kerberos V5 (https://go.microsoft.com/fwlink/?LinkId=81795).

Когда клиент пытается получить доступ к ресурсам на сервере в другом домене с использованием проверки подлинности NTLM, содержащий ресурс сервер должен связаться с контроллером домена в домене учетной записи клиента, чтобы проверить данные учетной записи.

Объекты доверенного домена

Объекты доверенного домена (TDO) - объекты, которые представляют каждое из отношений доверия в пределах конкретного домена. При каждом установлении отношения доверия создается уникальный TDO, который сохраняется в своем домене (в контейнере System). В TDO представлены такие атрибуты, как транзитивность доверия, тип и имена доменов второй стороны.

TDO доверия леса хранят дополнительные атрибуты для идентификации всех доверенных пространств имен из леса партнера. Эти атрибуты включают имена доменных деревьев, суффиксы основного имени пользователя (UPN), суффиксы имени участника-службы (SPN) и пространства имен идентификатора безопасности (SID).

Дополнительные сведения о доверии доменов см. в статье о технологиях доверия (https://go.microsoft.com/fwlink/?LinkId=92695). Дополнительные сведения об отношениях доверия см. в статье о разработке стратегии проверки подлинности ресурсов (https://go.microsoft.com/fwlink/?LinkId=92696).

Дополнительные ссылки


Содержание