Informazioni sulla direzione dei trust

Il tipo di trust e la direzione a esso assegnata influenzano il percorso di trust utilizzato per l'autenticazione. Un percorso di trust è una serie di relazioni di trust che le richieste di autenticazione devono seguire tra i domini. Affinché un utente possa accedere a una risorsa in un altro dominio, il sistema di sicurezza nei controller di dominio che eseguono Windows Server 2008 o Windows Server 2008 R2 deve determinare se il dominio trusting (il dominio che include la risorsa a cui l'utente tenta di accedere) ha una relazione di trust con il dominio trusted (il dominio di accesso dell'utente). A questo scopo, il sistema di sicurezza calcola il percorso di trust tra un controller di dominio nel dominio trusting e un controller di dominio nel dominio trusted. Nella figura seguente il percorso di trust è indicato da una freccia che mostra la direzione del trust.

Tutte le relazioni di trust tra domini includono solo due domini: il dominio trusting e il dominio trusted.

Un trust unidirezionale è un percorso di autenticazione unidirezionale creato tra due domini. Questo significa che, in un trust unidirezionale tra Dominio A e Dominio B, gli utenti nel Dominio A possono accedere alle risorse nel Dominio B. Tuttavia, gli utenti nel Dominio B non possono accedere alle risorse nel Dominio A. Alcuni trust unidirezionali possono essere trust non transitivi o transitivi, in base al tipo di trust creato. Per ulteriori informazioni sui tipi di trust, vedere Informazioni sui tipi di trust.

Tutti i trust tra domini in una foresta Windows Server 2008 o Windows Server 2008 R2 sono bidirezionali e transitivi. Quando si crea un nuovo dominio figlio, viene automaticamente creata una relazione di trust transitiva bidirezionale tra il nuovo dominio figlio e il relativo dominio padre. In un trust bidirezionale, il Dominio A ha una relazione di trust con il Dominio B e il Dominio B ha una relazione di trust con il Dominio A. Questo significa che le richieste di autenticazione possono essere trasmesse tra i due domini in entrambe le direzioni. Alcune relazioni bidirezionali possono essere non transitive o transitive, in base al tipo di trust creato. Per ulteriori informazioni, vedere Informazioni sui tipi di trust.

Un dominio Windows Server 2008 o Windows Server 2008 R2 può stabilire trust unidirezionali o bidirezionali con i domini e le aree di autenticazione seguenti:

• Domini Windows Server 2008 o Windows Server 2008 R2 nella stessa foresta
  
  
• Domini Windows Server 2008 o Windows Server 2008 R2 in una foresta diversa
  
  
• Domini Windows Server 2003 nella stessa foresta
  
  
• Domini Windows Server 2003 in una foresta diversa
  
  
• Domini Windows NT 4.0
  
  
• Aree di autenticazione Kerberos versione 5 (V5)
  
  

Per ulteriori informazioni sul protocollo Kerberos V5, vedere la pagina relativa (https://go.microsoft.com/fwlink/?LinkId=92699).