Транзитивность доверия
Транзитивность определяет, можно ли расширить доверие за пределы двух доменов, между которыми оно было сформировано. Транзитивное доверие можно использовать для расширения отношений доверия с другими доменами. Нетранзитивное доверие можно использовать для отказа в отношениях доверия с другими доменами.
Транзитивное доверие
При создании нового домена в лесу между новым доменом и его родительским доменом автоматически создается двустороннее транзитивное отношение доверия. Если к новому домену добавляются дочерние домены, путь доверия движется вверх по иерархии доменов, расширяя начальный путь доверия, который создается между новым доменом и его родительским доменом.
Транзитивные отношения доверия движутся вверх по доменному дереву по мере его формирования, создавая транзитивные доверия между всеми доменами доменного дерева.
Запросы проверки подлинности следуют по этим путям доверия. Таким образом, учетные записи из любого домена леса могут проходить проверку подлинности в любом другом домене леса. С помощью единого процесса входа учетные записи с соответствующими разрешениями получают доступ к ресурсам любого домена в составе леса.
Помимо транзитивных доверий по умолчанию, которые устанавливаются в лесу Windows Server 2008 или Windows Server 2008 R2, с помощью мастера создания отношения доверия можно вручную создать следующие транзитивные доверия:
- междоменное доверие: транзитивное
доверие между доменом в том же доменном дереве или лесу, которое
сокращает путь доверия в большом и сложном доменном дереве или
лесу;
- доверие леса: транзитивное доверие
между корневым доменом леса и корневым доменом второго леса;
- доверие сферы: транзитивное доверие
между доменом Active Directory и сферой Kerberos V5.
Дополнительные сведения о сферах Kerberos V5 см. в статье о
проверке подлинности Kerberos V5 (http://go.microsoft.com/fwlink/?LinkId=92699).
На следующем рисунке показано двустороннее транзитивное отношение доверия между доменным деревом «А» и доменным деревом «1». Все домены доменного дерева «А» и все домены доменного дерева «1» по умолчанию имеют транзитивные отношения доверия. В результате пользователи в доменном дереве «А» имеют доступ к ресурсам в доменах доменного дерева «1», а пользователи в доменном дереве «1» имеют доступ к ресурсам в доменном дереве «А», когда на ресурсе назначены соответствующие разрешения.
Дополнительные сведения о типах доверия см. в разделе Общее представление о типах доверия.
Нетранзитивное доверие
Нетранзитивное доверие ограничено двумя доменами в отношении доверия. Оно не переходит на какие-либо другие домены леса. Нетранзитивное доверие может быть двусторонним или односторонним. Нетранзитивные доверия являются односторонними по умолчанию, хотя можно также сформировать двустороннее отношение доверия, создав два односторонних доверия.
В итоге, нетранзитивные доверия доменов являются единственной формой отношения доверия, возможной между следующими доменами:
- домен Windows Server 2008 или Windows
Server 2008 R2 и домен Windows NT;
- домен Windows Server 2008 или Windows
Server 2008 R2 в одном лесу и домен в другом лесу (когда
леса не соединены доверием леса).
Мастер создания отношения доверия можно использовать для создания вручную следующих нетранзитивных доверий:
- внешнее доверие: нетранзитивное
доверие между доменом Windows Server 2008 или Windows
Server 2008 R2 и доменом Windows NT или доменом
Windows 2000, доменом Windows Server 2003, доменом
Windows Server 2008 или Windows Server 2008 R2 в
другом лесу;
- доверие сферы: нетранзитивное доверие
между доменом Active Directory и сферой Kerberos версии 5
(V5). Дополнительные сведения о сферах Kerberos V5 см. в статье о
проверке подлинности Kerberos V5 (http://go.microsoft.com/fwlink/?LinkId=92699).
Дополнительные сведения о типах доверия см. в разделе Общее представление о типах доверия.