Transitivität von Vertrauensstellungen

Die Transitivität bestimmt, ob eine Vertrauensstellung auf Domänen außerhalb der beiden Domänen, mit denen diese erstellt wurde, erweitert werden kann. Mithilfe einer transitiven Vertrauensstellung können Vertrauensstellungen auf andere Domänen erweitert werden. Mithilfe einer nicht transitiven Vertrauensstellung können Vertrauensstellungen mit anderen Domänen verweigert werden.

Transitive Vertrauensstellung

Bei jedem Erstellen einer neuen Domäne in einer Gesamtstruktur wird zwischen der neuen Domäne und ihrer übergeordneten Domäne automatisch eine bidirektionale, transitive Vertrauensstellung erstellt. Wenn der neuen Domäne untergeordnete Domänen hinzugefügt werden, wird der Vertrauenspfad in der Domänenhierarchie nach oben weitergegeben. Dadurch wird der ursprüngliche Vertrauenspfad erweitert, der zwischen der neuen Domäne und ihrer übergeordneten Domäne erstellt wird.

Transitive Vertrauensstellungen werden in einer Domänenstruktur nach oben weitergegeben, während diese erstellt wird, sodass zwischen allen Domänen in der Domänenstruktur transitive Vertrauensstellungen erstellt werden.

Authentifizierungsanforderungen folgen diesen Vertrauenspfaden. Daher können die Konten aller Domänen in der Gesamtstruktur in jeder anderen beliebigen Domäne in der Gesamtstruktur authentifiziert werden. Mit einem einzigen Anmeldevorgang können Konten mit den entsprechenden Berechtigungen auf die Ressourcen jeder beliebigen Domäne in der Gesamtstruktur zugreifen.

Zusätzlich zu den in einer Windows Server 2008- oder Windows Server 2008 R2-Gesamtstruktur erstellten transitiven Standardvertrauensstellungen können mit dem Assistenten für neue Vertrauensstellungen manuell folgende transitive Vertrauensstellungen erstellt werden:

  • Vertrauensstellungsabkürzung: Dabei handelt es sich um eine transitive Vertrauensstellung zwischen einer Domäne in derselben Domänenstruktur oder in derselben Gesamtstruktur, mit der der Vertrauenspfad in einer umfangreichen und komplexen Domänenstruktur oder Gesamtstruktur abgekürzt wird.

  • Gesamtstruktur-Vertrauensstellung: Eine transitive Vertrauensstellung zwischen zwei Gesamtstruktur-Stammdomänen.

  • Bereichsvertrauensstellung: Eine transitive Vertrauensstellung zwischen einer Active Directory-Domäne und einem Kerberos V5-Bereich. Weitere Informationen zu Kerberos V5-Bereichen finden Sie im Abschnitt zur Kerberos V5-Authentifizierung (https://go.microsoft.com/fwlink/?LinkId=92699, möglicherweise in englischer Sprache).

In der folgenden Abbildung wird eine bidirektionale transitive Vertrauensstellung zwischen der Struktur von Domäne A und der Struktur von Domäne 1 veranschaulicht. Alle Domänen in der Struktur von Domäne A und alle Domänen in der Struktur von Domäne 1 weisen standardmäßig transitive Vertrauensstellungen auf. Aus diesem Grund haben Benutzer in der Struktur von Domäne A Zugriff auf Ressourcen in der Struktur von Domäne 1, und Benutzer in der Struktur von Domäne 1 haben Zugriff auf Ressourcen in der Struktur von Domäne A, wenn der Ressource die entsprechenden Berechtigungen zugewiesen sind.

Ein wechselseitiger, transitiver Vertrauenspfad verbindet Domänen

Weitere Informationen zu Vertrauenstypen finden Sie unter Grundlegendes zu Vertrauenstypen.

Nicht transitive Vertrauensstellung

Eine nicht transitive Vertrauensstellung wird durch die zwei Domänen in der Vertrauensstellung eingeschränkt. Sie wird auf keine weiteren Domänen in der Gesamtstruktur ausgedehnt. Bei einer nicht transitiven Vertrauensstellung kann es sich um eine bidirektionale oder unidirektionale Vertrauensstellung handeln. Nicht transitive Vertrauensstellungen sind standardmäßig unidirektional. Sie können jedoch auch eine bidirektionale Vertrauensstellung erstellen, indem Sie zwei unidirektionale Vertrauensstellungen erstellen.

Zwischen den folgenden Domänen sind nur nicht transitive Vertrauensstellungen zulässig:

  • Zwischen einer Windows Server 2008- oder einer Windows Server 2008 R2-Domäne und einer Windows NT-Domäne

  • Zwischen einer Windows Server 2008- oder einer Windows Server 2008 R2-Domäne in einer Gesamtstruktur und einer Domäne in einer anderen Gesamtstruktur (wenn für die Gesamtstrukturen keine Gesamtstruktur-Vertrauensstellung vorhanden ist)

Mit dem Assistenten für neue Vertrauensstellungen können Sie manuell die folgenden nicht transitiven Vertrauensstellungen erstellen:

  • Externe Vertrauensstellung: Eine nicht transitive Vertrauensstellung zwischen einer Windows Server 2008- oder einer Windows Server 2008 R2-Domäne und einer Windows NT-Domäne oder einer Windows 2000-, Windows Server 2003-, Windows Server 2008- oder Windows Server 2008 R2-Domäne in einer anderen Gesamtstruktur

  • Bereichsvertrauensstellung: Eine nicht transitive Vertrauensstellung zwischen einer Active Directory-Domäne und einem Kerberos V5-Bereich (Version 5) Weitere Informationen zu Kerberos V5-Bereichen finden Sie im Abschnitt zur Kerberos V5-Authentifizierung (https://go.microsoft.com/fwlink/?LinkId=92699, möglicherweise in englischer Sprache).

Weitere Informationen zu Vertrauenstypen finden Sie unter Grundlegendes zu Vertrauenstypen.


Inhaltsverzeichnis