Förstå förtroenderiktning

Förtroendetypen och dess tilldelade riktning påverkar den förtroendeväg som används för autentisering. En förtroendeväg är en serie med förtroenderelationer som autentiseringsbegäran måste följa mellan domäner. Innan en användare får åtkomst till en resurs i en annan domän måste säkerhetssystemet på domänkontrollanter som kör Windows Server 2008 eller Windows Server 2008 R2 avgöra huruvida den betroende domänen (den domän som innehåller resursen som användaren försöker få åtkomst till) har en förtroenderelation med den betrodda domänen (användarens inloggningsdomän). För att avgöra detta beräknar säkerhetssystemet förtroendevägen mellan en domänkontrollant i den betroende domänen och en domänkontrollant i den betrodda domänen. I följande illustration indikeras förtroendevägen med en pil som visar förtroenderiktningen.

Alla domänens förtroenderelationer har bara två domäner i relationen: den betroende domänen och den betrodda domänen.

Ett enkelriktat förtroende är en enkelriktad autentiseringsväg som skapas mellan två domäner. Detta innebär att i ett enkelriktat förtroende mellan Domän A och Domän B, kan användare i Domän A nå resurser i Domän B. Användare i Domän B kan dock inte nå resurser i Domän A. Vissa enkelriktade förtroenden kan antingen vara ett icke-transitivt förtroende eller ett transitivt förtroende, beroende på vilken typ av förtroende som skapas. Mer information om förtroendetyper finns i Förstå förtroendetyper.

Alla domänförtroenden i en Windows Server 2008- eller Windows Server 2008 R2-skog är dubbelriktade, transitiva förtroenden. När en ny underordnad domän skapas, skapas automatiskt ett dubbelriktat, transitivt förtroende mellan den nya underordnade domänen och den överordnade domänen. I ett dubbelriktat förtroende har Domän A förtroende för Domän B och Domän B har förtroende för Domän A. Detta innebär att autentiseringsbegäran kan skickas mellan de två domänerna i båda riktningar. Vissa dubbelriktade relationer kan antingen vara icke-transitiva eller transitiva, beroende på vilken typ av förtroende som skapas. Mer information finns i Förstå förtroendetyper.

En Windows Server 2008 eller Windows Server 2008 R2-domän kan upprätta enkelriktade eller dubbelriktade förtroenden med följande domäner och sfärer:

• Windows Server 2008 eller Windows Server 2008 R2-domäner i samma skog
  
  
• Windows Server 2008 eller Windows Server 2008 R2-domäner i en annan skog
  
  
• Windows Server 2003-domäner i samma skog
  
  
• Windows Server 2003-domäner i en annan skog
  
  
• Windows NT 4.0-domäner
  
  
• Kerberos V5-sfärer
  
  

Mer information om Kerberos V5-protokollet finns i Kerberos V5-autentisering (https://go.microsoft.com/fwlink/?LinkId=92699) (sidan kan vara på engelska).