Transitiviteit van vertrouwensrelaties
De transitiviteit van vertrouwensrelaties bepaalt of een vertrouwensrelatie kan worden uitgebreid buiten de twee domeinen waartussen de vertrouwensrelatie tot stand is gebracht. Met een transitieve vertrouwensrelatie kunt u vertrouwensrelaties aangaan met andere domeinen. Met een niet-transitieve vertrouwensrelatie kunt u vertrouwensrelaties met andere domeinen weigeren
Transitieve vertrouwensrelatie
Telkens wanneer u in een forest een nieuw domein maakt, wordt er een transitieve tweerichtingsvertrouwensrelatie tot stand gebracht tussen het nieuwe domein en het bijbehorende bovenliggende domein. Als onderliggende domeinen aan het nieuwe domein worden toegevoegd, loopt het vertrouwenspad omhoog door de domeinhiërarchie. Hiermee wordt het oorspronkelijke vertrouwenspad uitgebreid dat tot stand is gebracht tussen het nieuwe domein en het bijbehorende bovenliggende domein.
Naarmate een domeinstructuur groeit, lopen de transitieve vertrouwensrelaties mee omhoog. Op die manier komen er transitieve vertrouwensrelaties tot stand tussen alle domeinen in de domeinstructuur.
Verificatieaanvragen volgen deze vertrouwenspaden. Daarom kunnen accounts vanuit elk domein in het forest worden geverifieerd in elk ander domein in het forest. Dankzij eenmalige aanmelding kan via accounts met de juiste machtigingen toegang worden verkregen tot bronnen in alle domeinen in het forest.
Naast de transitieve standaardvertrouwensrelaties die in een Windows Server 2008-domein of Windows Server 2008 R2-forest tot stand worden gebracht kunt u met de wizard Nieuwe vertrouwensrelaties handmatig de volgende transitieve vertrouwensrelaties maken:
-
Verkorte vertrouwensrelatie: Dit is een transitieve vertrouwensrelatie tussen een domein in dezelfde domeinstructuur of hetzelfde forest waarmee het vertrouwenspad in een grote en complexe domeinstructuur of dito forest kan worden verkort.
-
Forest-vertrouwensrelatie: Dit is een transitieve vertrouwensrelatie tussen twee foresthoofddomeinen.
-
Realm-vertrouwensrelatie: Een transitieve vertrouwensrelatie tussen een Active Directory-domein en een Kerberos V5-realm. Zie Kerberos V5-verificatie (
https://go.microsoft.com/fwlink/?LinkId=92699 ) voor meer informatie over Kerberos V5-realms.
In de volgende afbeelding ziet u een voorbeeld van een transitieve vertrouwensrelatie tussen de domeinstructuur A en de domeinstructuur 1. Tussen alle domeinen in de domeinstructuur A en alle domeinen in de domeinstructuur 1 bestaan standaard transitieve vertrouwensrelaties. Daardoor hebben gebruikers in de domeinstructuur A toegang tot bronnen in domeinen in de domeinstructuur 1, en hebben gebruikers in de domeinstructuur 1 toegang tot bronnen in domeinen in de domeinstructuur A wanneer de juiste machtigingen voor de bronnen zijn opgegeven.
Zie Typen vertrouwensrelaties voor meer informatie over de diverse typen vertrouwensrelaties.
Niet-transitieve vertrouwensrelaties
Een niet-transitieve vertrouwensrelatie blijft beperkt tot de twee domeinen waartussen de vertrouwensrelatie bestaat. Deze wordt niet uitgebreid naar andere domeinen in het forest. Een niet-transitieve vertrouwensrelatie kan een een- of een tweerichtingsvertrouwensrelatie zijn. Niet-transitieve vertrouwensrelaties zijn standaard eenrichtingsvertrouwensrelaties, maar u kunt ook een tweerichtingsvertrouwensrelatie tot stand brengen door twee eenrichtingsvertrouwensrelaties tot stand te brengen.
Een niet-transitieve domeinvertrouwensrelatie is het enige type vertrouwensrelatie dat tot stand kan worden gebracht tussen de volgende soorten domeinen:
-
Een Windows Server 2008-domein of een Windows Server 2008 R2-domein en een Windows NT-domein
-
Een Windows Server 2008-domein of een Windows Server 2008 R2-domein in het ene forest en een domein in het andere forest (wanneer tussen deze forests geen forestvertrouwensrelatie bestaat)
Met de wizard Nieuwe vertrouwensrelaties kunt u handmatig de volgende niet-transitieve vertrouwensrelaties tot stand brengen:
-
Externe vertrouwensrelatie: Dit is een niet-transitieve vertrouwensrelatie tussen een Windows Server 2008-domein of een Windows Server 2008 R2-domein en een Windows NT-domein of een Windows 2000-domein, en een Windows Server 2003-domein, een Windows Server 2008-domein of een Windows Server 2008 R2-domein in een ander forest.
-
Realm-vertrouwensrelatie: Dit is een niet-transitieve vertrouwensrelatie tussen een Active Directory-domein en een Kerberos V5-realm. Zie Kerberos V5-verificatie (
https://go.microsoft.com/fwlink/?LinkId=92699 ) voor meer informatie over Kerberos V5-realms.
Zie Typen vertrouwensrelaties voor meer informatie over de diverse typen vertrouwensrelaties.