Sie können das Snap-In Active Directory-Domänen und -Vertrauensstellungen verwenden, um Bereichsvertrauensstellungen zu erstellen.

Sie müssen mindestens Mitglied der Gruppe Domänen-Admins, Organisations-Admins oder einer entsprechenden Gruppe sein, damit Sie dieses Verfahren ausführen können. Weitere Informationen zum Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter https://go.microsoft.com/fwlink/?LinkId=83477.

Erstellen einer Bereichsvertrauensstellung

So erstellen Sie eine Bereichsvertrauensstellung mithilfe der Windows-Benutzeroberfläche
  1. Öffnen Sie Active Directory-Domänen und -Vertrauensstellungen. Klicken Sie zum Öffnen von Active Directory-Domänen und -Vertrauensstellungen auf Start, klicken Sie auf Verwaltung, und klicken Sie dann auf Active Directory-Domänen und -Vertrauensstellungen.

  2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf die zu verwaltende Domäne, und klicken Sie dann auf Eigenschaften.

  3. Klicken Sie auf der Registerkarte Vertrauensstellungen auf Neue Vertrauensstellung, und klicken Sie dann auf Weiter.

  4. Geben Sie auf der Seite Vertrauensstellungsname den Bereichsnamen für den Zielbereich ein, und klicken Sie dann auf Weiter.

  5. Wählen Sie auf der Seite Vertrauenstyp die Option Bereichsvertrauensstellung aus, und klicken Sie dann auf Weiter.

  6. Führen Sie auf der Seite Transitivität der Vertrauensstellung eine der folgenden Aktionen aus:

    • Klicken Sie zum Erstellen einer Vertrauensstellung mit der Domäne und dem angegebenen Bereich auf Nicht transitiv, und klicken Sie dann auf Weiter.

    • Klicken Sie zum Erstellen einer Vertrauensstellung mit der Domäne, dem angegebenen Bereich und allen vertrauenswürdigen Bereichen auf Transitiv, und klicken Sie dann auf Weiter.

  7. Führen Sie auf der Seite Richtung der Vertrauensstellung eine der folgenden Aktionen aus:

    • Klicken Sie auf Bidirektional, um eine bidirektionale Bereichsvertrauensstellung zu erstellen.

      Die Benutzer in dieser Domäne und die Benutzer im angegebenen Bereich haben Zugriff auf Ressourcen in beiden Domänen bzw. Bereichen.

    • Klicken Sie auf Unidirektional: eingehend, um eine unidirektionale eingehende Bereichsvertrauensstellung zu erstellen.

      Die Benutzer im angegebenen Bereich haben keinen Zugriff auf die Ressourcen in dieser Domäne.

    • Klicken Sie auf Unidirektional: ausgehend, um eine unidirektionale ausgehende Bereichsvertrauensstellung zu erstellen.

      Die Benutzer in dieser Domäne haben keinen Zugriff auf die Ressourcen im angegebenen Bereich.

  8. Folgen Sie den weiteren Anweisungen des Assistenten.

Weitere Überlegungen

  • Zum Ausführen dieses Verfahrens müssen Sie Mitglied der Gruppe Domänen-Admins oder Organisations-Admins in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) sein, oder es müssen die entsprechenden Berechtigungen an Sie delegiert worden sein. Aus Sicherheitsgründen sollten Sie dieses Verfahren mithilfe von Ausführen als ausführen. Weitere Informationen erhalten Sie, wenn Sie in Hilfe und Support nach "mithilfe von "Ausführen als"" suchen.

Weitere Verweise

So erstellen Sie eine Bereichsvertrauensstellung mithilfe einer Befehlszeile
  1. Öffnen Sie eine Eingabeaufforderung. Klicken Sie zum Öffnen einer Eingabeaufforderung auf Start, klicken Sie auf Ausführen, geben Sie cmd ein, und klicken Sie dann auf OK.

  2. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:

    netdom trust <TrustingDomainName> /d:<TrustedDomainName> /add /realm /PasswordT:<NewRealmTrustPassword>

Parameter Beschreibung

netdom trust

Verwaltet oder überprüft Vertrauensstellungen zwischen Domänen.

<TrustingDomainName>

Gibt den DNS-Namen (Domain Name System) der vertrauenden Domäne in der neuen Bereichsvertrauensstellung an.

/d:

Gibt an, dass der folgende DNS-Domänenname eine vertrauenswürdige Domäne ist.

<TrustedDomainName>

Gibt den DNS-Namen der Domäne an, der in der neuen Bereichsvertrauensstellung vertraut wird.

/add

Gibt an, dass eine Vertrauensstellung erstellt wird.

/realm

Gibt an, dass die Vertrauensstellung in einem Nicht-Windows-Kerberos-Bereich erstellt werden muss.

/PasswordT:

Gibt das neue Vertrauensstellungskennwort an. Dieser Parameter ist nur gültig, wenn eine der angegebenen Domänen ein Nicht-Windows-Kerberos-Bereich ist.

<NewRealmTrustPassword>

Gibt das Vertrauensstellungskennwort für die neue Bereichsvertrauensstellung an. Dieses Kennwort muss mit dem im Kerberos-Bereich verwendeten Kennwort übereinstimmen.

Wenn Sie die vollständige Syntax für diesen Befehl anzeigen und Informationen zur Eingabe der Benutzerkontoangaben erhalten möchten, geben Sie an einer Eingabeaufforderung folgenden Befehl ein, und drücken Sie anschließend die EINGABETASTE:

netdom trust | more 

Weitere Überlegungen

  • Zum Ausführen dieses Verfahrens müssen Sie Mitglied der Gruppe Domänen-Admins oder Organisations-Admins in AD DS sein, oder es müssen die entsprechenden Berechtigungen an Sie delegiert worden sein. Aus Sicherheitsgründen sollten Sie dieses Verfahren mithilfe von Ausführen als ausführen. Weitere Informationen erhalten Sie, wenn Sie in Hilfe und Support nach "mithilfe von "Ausführen als"" suchen. Sie können Vertrauensstellungsabkürzungen, externe Vertrauensstellungen und Gesamtstruktur-Vertrauensstellungen überprüfen, jedoch keine Bereichsvertrauensstellungen.

  • Sie können andere Parameter verwenden, um ein Kennwort zuzuweisen oder die Richtung der Vertrauensstellung zu bestimmen. Verwenden Sie beispielsweise die folgende Syntax, damit aus der vorherigen Vertrauensstellung eine bidirektionale transitive Vertrauensstellung wird.

    netdom trust <TrustingDomainName> /d:<TrustedDomainName> /add /realm /twoway

Weitere Verweise


Inhaltsverzeichnis