Типы доверия
С помощью мастера создания отношения доверия или программы командной строки Netdom можно создать четыре типа доверий: внешние доверия, доверия сфер, доверия лесов и междоменные доверия. Эти типы доверия описаны в следующей таблице.
Тип доверия | Транзитивность | Направление | Описание |
---|---|---|---|
Внешнее |
Нетранзитивное |
Одностороннее или двустороннее |
Используйте внешние отношения доверия для предоставления доступа к ресурсам, находящимся в домене Windows NT 4.0 или домене, расположенном в отдельном лесу, с которым не установлено доверие леса. Дополнительные сведения см. в разделе Общее представление о предпосылках для создания внешнего доверия. |
Сферы |
Транзитивное или нетранзитивное |
Одностороннее или двустороннее |
Используйте доверия сфер для формирования отношения доверия между сферой Kerberos (не Windows) и доменом Windows Server 2008 или Windows Server 2008 R2. Дополнительные сведения см. в разделе Сведения о том, когда следует создавать отношения доверия со сферой. |
Леса |
Транзитивное |
Одностороннее или двустороннее |
Используйте доверия лесов для предоставления общего доступа к ресурсам между лесами. Если доверие леса является двусторонним, запросы проверки подлинности, выполняемые в любом из лесов, могут достигать другого леса. Дополнительные сведения см. в разделе Общее представление о предпосылках для создания доверия леса. |
Междоменное |
Транзитивное |
Одностороннее или двустороннее |
Используйте междоменные доверия, чтобы ускорить вход пользователя в систему между двумя доменами в пределах леса Windows Server 2008 или Windows Server 2008 R2. Это полезно, когда два домена разделены двумя доменными деревьями. Дополнительные сведения см. в разделе Общее представление о предпосылках для создания междоменного доверия. |
При создании внешних доверий, междоменных доверий, доверий сфер или доверий лесов можно создать доверие на каждой стороне отдельно либо одновременно на обеих сторонах.
Если выбран вариант отдельного создания доверия на каждой из сторон, необходимо дважды запустить мастер создания отношения доверия, отдельно для каждого домена. Когда доверия создаются с помощью этого метода, необходимо предоставлять один и тот же пароль доверия для каждого домена. По соображениям безопасности все пароли доверий должны быть надежными. Дополнительные сведения см. в статье о надежных паролях (http://go.microsoft.com/fwlink/?LinkId=92697).
Если выбран вариант создания доверия на обеих сторонах одновременно, необходимо запустить мастер создания отношения доверия один раз. При выборе этого варианта автоматически генерируется надежный пароль. Необходимо иметь соответствующие учетные данные администратора для доменов, между которыми создается доверие.
Дополнительные сведения о довериях см. в разделах О транзитивности доверия и Общее представление о направлении доверия.