Vertrauensstellungen
Eine Vertrauensstellung ist eine Beziehung, die Sie zwischen Domänen herstellen. Dadurch können die Benutzer in einer Domäne von einem Domänencontroller in der anderen Domäne authentifiziert werden.
Vertrauensstellungen in Windows NT
Im Betriebssystem Windows NT 4.0 sind Vertrauensstellungen auf zwei Domänen begrenzt, und die Vertrauensstellung ist nicht transitiv sowie unidirektional. In der folgenden Abbildung ist die nicht transitive unidirektionale Vertrauensstellung durch den geraden Pfeil dargestellt, der auf die vertrauenswürdige Domäne zeigt.
Vertrauensstellungen in den Betriebssystemen Windows 2000 Server, Windows Server 2003, Windows Server 2008 und Windows Server 2008 R2
Alle Vertrauensstellungen in einer Windows 2000 Server-, Windows Server 2003-, Windows Server 2008- und Windows Server 2008 R2-Gesamtstruktur sind transitive bidirektionale Vertrauensstellungen. Deshalb wird beiden Domänen in einer Vertrauensstellung vertraut. Aus der folgenden Abbildung ist Folgendes ersichtlich: Wenn Domäne A Domäne B vertraut und Domäne B Domäne C vertraut, können Benutzer aus Domäne C auf Ressourcen in Domäne A zugreifen (sofern ihnen die entsprechenden Berechtigungen zugewiesen werden). Vertrauensstellungen können nur von Mitgliedern der Gruppe Domänen-Admins verwaltet werden.
Protokolle für Vertrauensstellungen
Benutzer und Anwendungen werden von einem Domänencontroller unter Windows Server 2008 oder Windows Server 2008 R2 mithilfe eines der folgenden zwei Protokolle authentifiziert: Kerberos V5-Protokoll (Version 5) oder NTLM. Das Kerberos V5-Protokoll ist das Standardprotokoll für Computer unter Windows 2000, Windows XP Professional, Windows Server 2003, Windows Server 2008 oder Windows Server 2008 R2. Wenn das Kerberos V5-Protokoll von einem an einer Transaktion beteiligten Computer nicht unterstützt wird, wird das NTLM-Protokoll verwendet.
Bei Verwendung des Kerberos V5-Protokolls fordert der Client bei einem Domänencontroller in seiner Kontodomäne ein Ticket für den Server in der vertrauenden Domäne an. Dieses Ticket wird von einem Vermittler ausgestellt, der für den Client und den Server vertrauenswürdig ist. Der Client übermittelt dieses vertrauenswürdige Ticket zum Zwecke der Authentifizierung an den Server der vertrauenden Domäne. Weitere Informationen finden Sie im Abschnitt zur Kerberos V5-Authentifizierung (
Wenn ein Client mithilfe der NTLM-Authentifizierung auf die Ressourcen eines Servers in einer anderen Domäne zugreift, muss der Server, der die Ressource enthält, einen Domänencontroller in der Kontodomäne des Clients kontaktieren, um die Kontoanmeldeinformationen zu überprüfen.
Vertrauenswürdige Domänenobjekte
Vertrauenswürdige Domänenobjekte (Trusted Domain Objects, TDOs) sind Objekte, die jede Vertrauensstellung innerhalb einer bestimmten Domäne darstellen. Bei jedem Erstellen einer Vertrauensstellung wird ein eindeutiges TDO erstellt und in der Domäne (im Systemcontainer) gespeichert. In einem TDO werden Attribute dargestellt, beispielsweise die Transitivität der Vertrauensstellung, der Typ der Vertrauensstellung und die reziproken Domänennamen.
Die TDOs für die Gesamtstruktur-Vertrauensstellung speichern zusätzliche Attribute zum Identifizieren aller vertrauenswürdigen Namespaces der Partnergesamtstruktur. Zu diesen Attributen zählen Domänenstrukturnamen, Benutzerprinzipalnamen-Suffixe (User Principal Name, UPN), Dienstprinzipalnamen-Suffixe (Service Principal Name, SPN) und Sicherheits-ID-Namespaces (Security Identifier, SID).
Weitere Informationen zu Domänenvertrauensstellungen finden Sie im Abschnitt zu Vertrauensstellungen (