Förtroendets transitivitet

Transitivitet avgör huruvida ett förtroende kan utökas utöver de två domäner som förtroendet bildades mellan. Du kan använda ett transitivt förtroende för att utöka förtroenderelationer med andra domäner. Du kan använda ett icke-transitivt förtroende för att neka förtroenderelationer med andra domäner.

Transitivt förtroende

Varje gång du skapar en ny domän i en skog skapas automatiskt en dubbelriktad, transitiv förtroenderelation mellan den nya domänen och dess överordnade domän. Om underordnade domäner läggs till i den nya domänen flödar förtroendevägen uppåt genom domänhierarkin, och utökar den initiala förtroendeväg som skapas mellan den nya domänen och dess överordnade domän.

Transitiva förtroenderelationer flödar uppåt genom ett domänträd när det bildas och skapar transitiva förtroenden mellan alla domäner i domänträdet.

Autentiseringsbegäran följer dessa förtroendevägar. Därför går det att autentisera konton från valfri domän i skogen på valfri annan domän i skogen. Med en enda inloggningsprocess kan konton med korrekta behörigheter nå resurser i valfri domän i skogen.

Förutom de transitiva förtroenden som är standard och som upprättats i en Windows Server 2008 eller Windows Server 2008 R2-skog kan du, genom att använda Guiden Nytt förtroende, manuellt skapa följande transitiva förtroenden:

  • Genvägsförtroende: Ett transitivt förtroende mellan en domän i samma domänträd eller -skog som förkortar förtroendevägen i ett stort och komplex domänträd eller -skog.

  • Skogsförtroende: Ett transitivt förtroende mellan en skogsrotdomän och en andra skogsrotdomän.

  • Sfärförtroende: Ett transitivt förtroende mellan en Active Directory-domän och en Kerberos V5-sfär. Mer information om Kerberos V5-sfärer finns i Kerberos V5-autentisering (https://go.microsoft.com/fwlink/?LinkId=92699 (sidan kan vara på engelska).

Följande illustration visar en dubbelriktad, transitiv förtroenderelation mellan trädet Domän A och trädet Domän 1. Alla domäner i trädet Domän A och alla domäner i trädet Domän 1 har som standard transitiva förtroenderelationer. Resultatet är att användare i trädet Domän A kan nå resurser i domäner i trädet Domän 1, och användare i trädet Domän 1 kan nå resurser i trädet Domän A när korrekta behörigheter tilldelas vid resursen.

En tvåvägs, transitiv förtroendeväg ansluter domäner

Mer information om förtroendetyper finns i Förstå förtroendetyper.

Icke-transitivt förtroende

Ett icke-transitivt förtroende begränsas av de två domänerna i förtroenderelationen. Det flödar inte till några andra domäner i skogen. Ett icke-transitivt förtroende kan vara ett dubbelriktat förtroende eller ett enkelriktat förtroende. Icke-transitiva förtroenden är enkelriktade som standard, även om du också kan skapa en dubbelriktad relation genom att skapa två enkelriktade förtroenden.

Sammanfattningsvis är icke-transitiva domänförhållanden den enda form av förtroenderelation som är möjlig mellan följande:

  • En Windows Server 2008 eller en Windows Server 2008 R2-domän och en Windows NT-domän

  • En Windows Server 2008 eller en Windows Server 2008 R2-domän i en skog och en domän i en annan skog (när skogen inte ansluts till av ett skogsförtroende)

Du kan använda Guiden Nytt förtroende om du vill skapa följande icke-transitiva förtroenden manuellt:

  • Externt förtroende: Ett icke-transitivt förtroende mellan en Windows Server 2008 eller en Windows Server 2008 R2-domän och en Windows NT- eller en Windows 2000-, Windows Server 2003-domän, Windows Server 2008 eller en Windows Server 2008 R2-domän i en annan skog.

  • Sfärförtroende: Ett icke-transitivt förtroende mellan en Active Directory-domän och en Kerberos V5-sfär. Mer information om Kerberos V5-sfärer finns i Kerberos V5-autentisering (https://go.microsoft.com/fwlink/?LinkId=92699 (sidan kan vara på engelska).

Mer information om förtroendetyper finns i Förstå förtroendetyper.

Ytterligare referenser

Innehåll