Для создания отношений доверия между доменами можно использовать оснастку «Active Directory - домены и доверие».
Минимальное требование для выполнения этой процедуры - членство в группе Администраторы домена или Администраторы предприятия или в эквивалентной группе. Подробные сведения об использовании соответствующих учетных записей и членства в группах см. на странице http://go.microsoft.com/fwlink/?LinkId=83477.
Чтобы создать доверие леса |
-
Откройте оснастку «Active Directory -домены и доверие». Для открытия оснастки «Active Directory - домены и доверие» нажмите кнопку Пуск, выберите Администрирование, а затем - Active Directory - домены и доверие.
-
В дереве консоли щелкните правой кнопкой домен, которым требуется управлять, а затем выберите Свойства.
-
На вкладке Доверия выберите Создать доверие, а затем нажмите кнопку Далее.
-
На странице Имя доверия введите DNS-имя или NetBIOS-имя домена и нажмите кнопку Далее.
-
На странице Тип доверия выберите Доверие леса, а затем нажмите кнопку Далее.
-
На странице Направление доверия выполните одно из следующих действий.
- Чтобы создать двустороннее доверие леса,
выберите Двустороннее.
Пользователи в этом лесу и пользователи в указанном лесу будут иметь доступ к ресурсам в каждом из лесов;
- Чтобы создать одностороннее входящее доверие
леса, выберите Одностороннее: входящее.
Пользователи в указанном лесу не будут иметь доступ к каким-либо ресурсам в этом лесу;
- Чтобы создать одностороннее исходящее доверие
леса, выберите Одностороннее: исходящее.
Пользователи в этом лесу не будут иметь доступ к каким-либо ресурсам в указанном лесу.
- Чтобы создать двустороннее доверие леса,
выберите Двустороннее.
-
Следуйте указаниям мастера.
Дополнительная информация
- Для выполнения этой процедуры необходимо быть
членом группы «Администраторы домена» или «Администраторы
предприятия» в доменных службах Active Directory либо должны быть
делегированы соответствующие полномочия. По соображениям
безопасности для выполнения этой процедуры рекомендуется
использовать команду Запуск от имени. Чтобы получить
дополнительные сведения, выполните поиск «запуск от имени» в центре
справки и поддержки;
- пользователь с соответствующими учеными
данными администратора для каждого из лесов может одновременно
создать двустороннее доверие леса, выбрав Этот домен и указанный
домен на странице Стороны отношения доверия;
- если требуется разрешить пользователям из
указанного леса доступ ко всем компьютерам в локальном лесу, на
странице Свойства исходящего доверия выберите Проверка
подлинности в лесу. Рекомендуется использовать этот параметр,
когда оба леса принадлежат одной и той же организации;
- если требуется выборочно ограничить проверку
подлинности конкретными пользователями и группами из указанного
леса, на странице Свойства исходящего доверия выберите
Выборочная проверка подлинности. Рекомендуется использовать
этот параметр, когда указанный лес принадлежит отдельной
организации;
- в дополнение к созданию новых доверий можно
изменять существующие доверия с помощью вкладки Доверие.