Förtroenden

Ett förtroende är en relation som du upprättar mellan domäner som gör det möjligt för användare i en domän att autentiseras av en domänkontrollant i den andra domänen.

Förtroenden i Windows NT

I operativsystemet Windows NT 4.0 är förtroenden begränsade till två domäner och förtroenderelationen är icke-transitiv och enkelriktad. I följande illustration visas det icke-transitiva, enkelriktade förtroendet med den raka pil som pekar på den betrodda domänen.

Förtroendevägens riktning

Förtroenden i operativsystemen Windows 2000 Server, Windows Server 2003, Windows Server 2008 och Windows Server 2008 R2

Alla förtroenden i Windows 2000 Server-, Windows Server 2003- och i Windows Server 2008- och Windows Server 2008 R2-skogarna är transitiva, dubbelriktade förtroenden. Därför är båda domäner i en förtroenderelation betrodda. Som visas i följande illustration innebär detta att om Domän A har förtroende för Domän B och Domän B har förtroende för Domän C, kan användare från Domän C nå resurser i Domän A (när de tilldelats korrekta behörigheter). Det är enbart medlemmar i gruppen Domänadministratörer som kan hantera förtroenderelationer.

Transitiva förtroenden i ett domänträd

Förtroendeprotokoll

En domänkontrollant som kör Windows Server 2008 eller Windows Server 2008 R2 autentiserar användare och program genom att använda ett av två protokoll: Kerberos V5-protokollet eller NTLM. Kerberos V5-protokollet är standardprotokollet för datorer som kör Windows 2000, Windows XP Professional, Windows Server 2003, Windows Server 2008 eller Windows Server 2008 R2. Om det finns någon dator i en transaktion som inte stöder Kerberos V5-protokollet används NTLM-protokollet.

Med Kerberos V5-protokollet begär klienten en biljett från en domänkontrollant i sin kontodomän till servern i den betroende domänen. Den här biljetten utfärdas av en förmedlare som är betrodd av klienten och servern. Klienten presenterar den här betrodda biljetten till servern i den betroende domänen för autentisering. Mer information finns i Kerberos V5-autentisering (https://go.microsoft.com/fwlink/?LinkId=81795) (sidan kan vara på engelska).

När en klient försöker nå resurser på en server i en annan domän genom att använda NTLM-autentisering måste den server som innehåller resursen kontakta en domänkontrollant i klientkontodomänen för att verifiera kontots autentiseringsuppgifter.

Betrodda domänobjekt

Betrodda domänobjekt (TDO eller Trusted Domain Object) är objekt som representerar varje förtroenderelation inom en viss domän. Varje gång det upprättas ett förtroende skapas ett unikt TDO och det lagras i motsvarande domän (i behållaren System). Attribut, t.ex. förtroendets transitivitet, typ och de motsvarande domännamnen representeras i TDO.

Skogsförtroendes TDO lagrar ytterligare attribut som identifierar alla betrodda namnutrymmen från sin partnerskog. Dessa attribut omfattar domänträdsnamn, UPN-suffix, SPN-suffix och säkerhetsidentifierares (SID) namnutrymmen.

Mer information om domänförtroenden finns på Förtroendeteknik (https://go.microsoft.com/fwlink/?LinkId=92695) (sidan kan vara på engelska). Mer information om förtroenderelationer finns i Utforma en strategi för resursauktorisering (https://go.microsoft.com/fwlink/?LinkId=92696) (sidan kan vara på engelska).

Ytterligare referenser


Innehåll