Vertrauensstellungsrichtung
Der Vertrauenstyp und die dazugehörige zugewiesene Richtung haben Auswirkungen auf den für die Authentifizierung verwendeten Vertrauenspfad. Bei einem Vertrauenspfad handelt es sich um eine Reihe von Vertrauensstellungen, die Authentifizierungsanforderungen zwischen Domänen durchlaufen müssen. Bevor ein Benutzer auf eine Ressource einer anderen Domäne zugreifen kann, muss durch das Sicherheitssystem auf Domänencontrollern unter Windows Server 2008 oder Windows Server 2008 R2 bestimmt werden, ob zwischen der vertrauenden Domäne (in der die Ressource enthalten ist, auf die der Benutzer zugreifen möchte) und der vertrauenswürdigen Domäne (Anmeldedomäne des Benutzers) eine Vertrauensstellung besteht. Zu diesem Zweck wird vom Sicherheitssystem der Vertrauenspfad zwischen einem Domänencontroller in der vertrauenden Domäne und einem Domänencontroller in der vertrauenswürdigen Domäne berechnet. In der folgenden Abbildung wird der Vertrauenspfad durch einen Pfeil angezeigt, der die Richtung der Vertrauensstellung anzeigt.
Eine Domänenvertrauensstellung wird immer nur zwischen zwei Domänen erstellt: der vertrauenden Domäne und der vertrauenswürdigen Domäne.
Unidirektionale Vertrauensstellung
Eine unidirektionale Vertrauensstellung ist ein unidirektionaler Authentifizierungspfad, der zwischen zwei Domänen erstellt wird. Dies bedeutet, dass bei einer unidirektionalen Vertrauensstellung zwischen Domäne A und Domäne B die Benutzer in Domäne A über Zugriff auf Ressourcen in Domäne B verfügen. Die Benutzer in Domäne B können jedoch nicht auf Ressourcen in Domäne A zugreifen. Je nach dem erstellten Vertrauenstyp sind einige unidirektionale Vertrauensstellungen entweder nicht transitive Vertrauensstellungen oder transitive Vertrauensstellungen. Weitere Informationen zu Vertrauenstypen finden Sie unter Grundlegendes zu Vertrauenstypen.
Bidirektionale Vertrauensstellung
Alle Domänenvertrauensstellungen in einer Windows Server 2008- oder einer Windows Server 2008 R2-Gesamtstruktur sind bidirektionale transitive Vertrauensstellungen. Beim Erstellen einer neuen untergeordneten Domäne wird zwischen der neuen untergeordneten und der übergeordneten Domäne automatisch eine bidirektionale transitive Vertrauensstellung erstellt. In einer bidirektionalen Vertrauensstellung vertraut Domäne A Domäne B, und Domäne B vertraut Domäne A. Dies bedeutet, dass Authentifizierungsanforderungen zwischen den zwei Domänen in beide Richtungen weitergeleitet werden können. Einige bidirektionale Beziehungen können je nach dem erstellten Vertrauenstyp entweder nicht transitiv oder transitiv sein. Weitere Informationen finden Sie unter Grundlegendes zu Vertrauenstypen.
Zwischen einer Windows Server 2008- oder einer Windows Server 2008 R2-Domäne und folgenden Domänen und Bereichen kann eine unidirektionale oder bidirektionale Vertrauensstellung erstellt werden:
-
Windows Server 2008- oder Windows Server 2008 R2-Domänen innerhalb derselben Gesamtstruktur
-
Windows Server 2008- oder Windows Server 2008 R2-Domänen in einer anderen Gesamtstruktur
-
Windows Server 2003-Domänen innerhalb derselben Gesamtstruktur
-
Windows Server 2003-Domänen in einer anderen Gesamtstruktur
-
Windows NT 4.0-Domänen
-
Kerberos V5-Bereiche (Version 5)
Weitere Informationen zum Kerberos V5-Protokoll finden Sie im Abschnitt zur Kerberos V5-Authentifizierung (