Для создания междоменных отношений доверия используется оснастка «Active Directory - домены и доверие».

Минимальное требование для выполнения этой процедуры - членство в группе Администраторы домена или Администраторы предприятия или в эквивалентной группе. Подробные сведения об использовании соответствующих учетных записей и членства в группах см. на странице http://go.microsoft.com/fwlink/?LinkId=83477.

Создание внешнего доверия

Чтобы создать внешнее доверие с помощью интерфейса Windows
  1. Откройте оснастку «Active Directory - домены и доверие». Для открытия оснастки «Active Directory - домены и доверие» нажмите кнопку Пуск, выберите Администрирование, а затем - Active Directory - домены и доверие.

  2. В дереве консоли щелкните правой кнопкой узел того домена, с которым требуется установить доверие, а затем выберите Свойства.

  3. На вкладке Доверия выберите Создать доверие, а затем нажмите кнопку Далее.

  4. На странице Имя доверия введите DNS-имя или NetBIOS-имя домена и нажмите кнопку Далее.

  5. На странице Тип доверия выберите Внешнее доверие, а затем нажмите кнопку Далее.

  6. На странице Направление доверия выполните одно из следующих действий.

    • Чтобы создать двустороннее внешнее доверие, выберите Двустороннее.

      Пользователи в этом домене и пользователи в указанном домене будут иметь доступ к ресурсам в обоих доменах;

    • Чтобы создать одностороннее входящее внешнее доверие, выберите Одностороннее: входящее.

      Пользователи в указанном домене не будут иметь доступ к каким-либо ресурсам в этом домене;

    • Чтобы создать одностороннее исходящее внешнее доверие, выберите Одностороннее: исходящее.

      Пользователи в этом домене не будут иметь доступ к каким-либо ресурсам в указанном домене.

  7. Следуйте указаниям мастера.

Дополнительная информация

  • Для выполнения этой процедуры необходимо быть членом группы «Администраторы домена» или «Администраторы предприятия» в доменных службах Active Directory либо должны быть делегированы соответствующие полномочия. По соображениям безопасности для выполнения этой процедуры рекомендуется использовать команду Запуск от имени. Чтобы получить дополнительные сведения, выполните поиск «запуск от имени» в центре справки и поддержки;

  • пользователь с соответствующими учеными данными администратора для каждого из доменов может одновременно создать двустороннее внешнее доверие, выбрав Этот домен и указанный домен на странице Стороны отношения доверия;

  • если требуется разрешить пользователям из указанного домена доступ ко всем ресурсам в этом домене, выберите Разрешить проверку подлинности для всех ресурсов на странице Свойства исходящего доверия. Используйте этот параметр, когда оба домена принадлежат одной и той же организации;

  • если требуется запретить пользователям из указанного домена доступ ко всем ресурсам в этом домене, выберите Разрешить проверку подлинности только для выбранных ресурсов в локальном домене на странице Свойства исходящего доверия. Используйте этот параметр, когда каждый из доменов принадлежит отдельной организации.

Дополнительные ссылки

Чтобы создать внешнее доверие с помощью командной строки
  1. Откройте командную строку. Чтобы открыть командную строку, нажмите кнопку Пуск, выберите Выполнить, введите cmd, а затем нажмите кнопку ОК.

  2. Введите указанную ниже команду и нажмите клавишу ВВОД.

    netdom trust <TrustingDomainName> /d:<TrustedDomainName> /add
    

Параметр Описание

netdom trust

Управляет отношением доверия между доменами или проверяет его.

<имя_доверяющего_домена>

Указывает DNS-имя (или NetBIOS-имя) доверяющего домена в создаваемом доверии.

/d:

Указывает, что домен, DNS-имя которого следует далее, является доверенным доменом.

<имя_доверенного_домена>

Указывает DNS-имя (или NetBIOS-имя) доверенного домена в создаваемом доверии.

/add

Указывает, что создается доверие.

Для просмотра полного синтаксиса данной команды, а также сведений о вводе в командную строку информации учетной записи пользователя введите следующую команду, а затем нажмите клавишу ВВОД.

netdom trust | more 

Дополнительная информация

  • Для выполнения этой процедуры необходимо быть членом группы «Администраторы домена» или «Администраторы предприятия» в доменных службах Active Directory либо получить соответствующие полномочия путем делегирования. По соображениям безопасности для выполнения этой процедуры рекомендуется использовать команду Запуск от имени. Чтобы получить дополнительные сведения, выполните поиск «запуск от имени» в центре справки и поддержки. Проверить можно междоменные доверия, внешние доверия и доверия лесов, но не отношения доверия со сферами;

  • для назначения пароля или определения направления доверия можно использовать другие параметры. Например, чтобы создать двустороннее транзитивное доверие, используйте следующий синтаксис:

    netdom trust <TrustingDomainName> /d:<TrustedDomainName> /add /twoway 
    

Дополнительные ссылки