Управление доверием Active Directory в Windows Server 2016

Доверительные отношения Active Directory могут быть созданы между доменами Active Directory и лесами Active Directory. Доверие позволяет поддерживать отношения между двумя доменами, чтобы обеспечить доступ пользователей к ресурсам в доменах. Все доверительные отношения между доменами в лесу Active Directory являются транзитивными и двусторонними. Таким образом, нет необходимости создавать доверительные отношения между доменами одного леса Active Directory, но вам потребуется создать доверительные отношения между доменами разных лесов Active Directory, если вам нужно разрешить пользователям из одного домена доступ к ресурсам в другом домене в другой лес Active Directory. В этой статье объясняются доступные типы доверия в Windows Server 2016 и способы управления ими с помощью встроенных инструментов, поставляемых при установке Active Directory на компьютер с Windows Server 2016.

Типы доверия Active Directory

Доступны четыре типа доверительных отношений Active Directory: внешние доверительные отношения, доверительные отношения области, доверительные отношения леса и доверительные отношения быстрого доступа. Каждый объясняется ниже:

• Внешнее доверие: внешнее доверие создается только в том случае, если ресурсы расположены в другом лесу Active Directory. Внешнее доверие всегда нетранзитивно и может быть односторонним или двусторонним.
• Доверие области. Доверительные отношения области всегда создаются между лесом Active Directory и каталогом Kerberos, отличным от Windows, таким как eDirectory, Unix Directory и т. д. Доверие может быть транзитивным и нетранзитивным, а направление доверия может быть односторонним или двусторонним. Если вы используете разные каталоги в своей производственной среде и вам необходимо разрешить пользователям доступ к ресурсам в любом из каталогов, вам необходимо установить доверительные отношения между областями.
• Доверие леса: вам потребуется создать доверие леса, если вам нужно разрешить совместное использование ресурсов между лесами Active Directory. Лесные трасты всегда транзитивны, и направление может быть односторонним или двусторонним.
• Доверительные отношения: вы можете создать доверительные отношения между доменами одного и того же леса Active Directory, если вам нужно улучшить процесс входа пользователей в систему. Доверие быстрого доступа всегда транзитивно, а направление может быть односторонним или двусторонним.

Важные моменты о трастах Active Directory

При создании трастов Active Directory обратите внимание на следующие моменты:

• У вас должны быть достаточные разрешения для выполнения операции создания доверия. Как минимум, вы должны быть частью группы безопасности администраторов домена или администраторов предприятия, либо вам должны быть предоставлены необходимые разрешения для создания трастов.
• В рамках операции создания доверия вам потребуется проверить доверие между двумя пунктами назначения. Проверка может быть выполнена с помощью оснастки Active Directory Domains and Trusts или средства командной строки Netdom.
• При создании внешних доверительных отношений или доверительных отношений леса вы можете выбрать Область проверки подлинности для пользователей. Выборочная проверка подлинности позволяет ограничить доступ только тем удостоверениям в доверенном лесу Active Directory, которым предоставлены разрешения на доступ к компьютерам ресурсов в доверенном лесу Active Directory. Сценарий ограничения доступа реализуется с помощью функции выборочной проверки подлинности, которая применима только для внешних доверительных отношений и доверительных отношений леса.

Как создать доверие

Вы можете использовать оснастку Active Directory Domains and Trusts или инструмент командной строки Netdom для создания доверительных отношений, описанных выше. Например, чтобы создать внешнее доверие с помощью оснастки Active Directory Domains and Trusts, выполните следующие действия:

1. Введите Domain.msc в строке поиска в меню «Пуск».
2. Щелкните правой кнопкой мыши узел домена и выберите действие «Свойства».
3. На вкладке «Доверия» нажмите «Новое доверие», а затем нажмите «Далее», чтобы отобразить шаги.
4. В поле Trust Name введите DNS-имя домена и нажмите кнопку Next.
5. В раскрывающемся списке «Тип доверия» выберите тип доверия, который вы хотите создать. Поскольку мы создаем внешнее доверие, выберите «Внешнее доверие» и нажмите кнопку «Далее».
6. На странице с надписью «Направление траста» выберите направление, а затем следуйте инструкциям на экране, чтобы продолжить создание траста.

Чтобы создать внешнее доверие с помощью инструмента командной строки Netdom, выполните следующую команду:

Netdom Trust <TrustingDomain> /D:<TrustedDomain> /Add

<TrustingDomain> в приведенной выше команде — это доменное имя DNS доверяющего домена, а <TrustedDomain> — доменное имя DNS домена, которому будет доверять доверие.

Проверка трастов

После создания доверительных отношений их можно проверить с помощью оснастки Active Directory Domains and Trusts или средства командной строки Netdom, но лучше всего проверять доверительные отношения с помощью средства командной строки Netdom. Все, что вам нужно сделать, это указать доменные имена DNS для доверенных и доверенных доменов, а затем добавить переключатель «/ Verify», как показано в приведенной ниже команде:

Netdom Trust <TrustingDomain> /D:<TrustedDomain> /Verify

Хотя создать доверительные отношения с помощью sanp-in Active Directory Domains and Trusts несложно, когда дело доходит до проверки доверия, использование утилиты командной строки Netdom имеет смысл, поскольку она позволяет включать команду проверки в пакетный файл и запускать это каждую неделю, чтобы убедиться, что доверие на месте.