Güvenler

Güven, etki alanları arasında kurulan, bir etki alanındaki kullanıcıların diğer etki alanındaki etki alanı denetleyicisi tarafından kimliklerinin doğrulanabilmesini sağlayan bir ilişkidir.

Windows NT'de Güvenler

Windows NT 4.0 işletim sisteminde, güvenler iki etki alanıyla sınırlıdır ve güven ilişkisi geçişsiz ve tek yönlüdür. Aşağıdaki şekilde, geçişsiz, tek yönlü güven güvenilen etki alanını gösteren düz bir okla gösterilir.

Güven yolunun yönü

Windows 2000 Server, Windows Server 2003, Windows Server 2008 ve Windows Server 2008 R2 işletim sistemlerinde güvenler

Windows 2000 Server, Windows Server 2003, Windows Server 2008 ve Windows Server 2008 R2 ormanlarındaki tüm güvenler, geçişli ve çift yönlü güvenlerdir. Böylece bir güven ilişkisindeki iki etki alanı güvenilir olur. Aşağıdaki gösterimdeki gibi, A Etki Alanı, B Etki Alanına güveniyorsa ve B Etki Alanı, C Etki Alanına güveniyorsa, C Etki Alanının kullanıcıları A Etki Alanındaki kaynaklara erişebilir (doğru izinler atandığında). Yalnızca Domain Admins grubunun üyeleri güven ilişkilerini yönetebilir.

Etki alanı ağacındaki geçişli güvenler

Güven protokolleri

Windows Server 2008 veya Windows Server 2008 R2 çalıştıran bir etki alanı denetleyicisi, şu iki protokolden birini kullanarak kullanıcıların ve uygulamaların kimliğini doğrular: Kerberos sürüm 5 (V5) protokolü veya NTLM. Kerberos V5 protokolü, Windows 2000, Windows XP Professional, Windows Server 2003, Windows Server 2008 veya Windows Server 2008 R2 çalıştıran bilgisayarların varsayılan protokolüdür. Bir işlemdeki herhangi bir bilgisayar Kerberos V5 protokolünü desteklemiyorsa, NTLM protokolü kullanılır.

Kerberos V5 protokolüyle, istemci, hesap etki alanındaki etki alanı denetleyicisinden güvenen etki alanındaki sunucuya bir bilet ister. Bu bilet istemci ve sunucu tarafından güvenilen bir aracı tarafından verilmektedir. İstemci bu güvenilen bileti kimlik doğrulama yapılması için, güvenen etki alanındaki sunucuya gösterir. Daha fazla bilgi için, bkz. Kerberos V5 kimlik doğrulama (https://go.microsoft.com/fwlink/?linkid=81795).

İstemci başka bir etki alanında bulunan sunucudaki kaynaklara NTLM kimlik doğrulaması kullanarak erişmeye çalıştığında, kaynağı içeren sunucu hesap kimlik bilgilerini doğrulamak için istemcinin hesap etki alanındaki etki alanı denetleyicisiyle bağlantı kurmalıdır.

Güvenilen etki alanı nesneleri

Güvenilen etki alanı nesneleri (TDO) belirli bir etki alanındaki her güven ilişkisini temsil eden nesnelerdir. Bir güven kurulduğunda, bu etki alanında benzersiz bir TDO oluşturulur ve depolanır (Sistem kapsayıcısında). TDO'da güven geçişi, tür ve karşı etki alanı adları gibi öznitelikler temsil edilir.

Orman güveni TDO'ları, ortak ormandan gelen tüm güvenilen ad alanlarını tanımlamak için ek öznitelikleri depolar. Bu öznitelikler etki alanı ağaç adlarını, kullanıcı asıl adı (UPN) soneklerini, hizmet asıl adı (SPN) soneklerini ve güvenlik kimliği (SID) ad alanlarını içerir.

Etki alanı güvenleri hakkında daha fazla bilgi için bkz. Güven Teknolojileri (https://go.microsoft.com/fwlink/?LinkId=92695). Güven ilişkileri hakkında daha fazla bilgi için bkz. Kaynak Yetkilendirme Stratejisi Tasarlama (https://go.microsoft.com/fwlink/?LinkId=92695).

Ek başvurular


İçindekiler