Направление доверия

Тип доверия и назначенное ему направление влияют на путь доверия, который используется для проверки подлинности. Путь доверия - это последовательность отношений доверия, которую запросы проверки подлинности должны пройти между доменами. Перед предоставлением пользователю доступа к ресурсу в другом домене система безопасности на контроллерах домена, работающих под управлением Windows Server 2008 или Windows Server 2008 R2, должна определить, имеет ли доверяющий домен (домен, содержащий ресурс, доступ к которому пытается получить пользователь) отношение доверия с доверенным доменом (доменом, из которого выполняет вход пользователь). Для этого система безопасности вычисляет путь доверия между контроллером домена в доверяющем домене и контроллером домена в доверенном домене. На следующей иллюстрации путь доверия показан стрелкой, которая демонстрирует направление доверия.

Направление пути доверия

Все отношения доверия доменов включают в отношение только два домена: доверяющий домен и доверенный домен.

Одностороннее доверие

Одностороннее доверие - это однонаправленный путь проверки подлинности, который создается между двумя доменами. Это означает, что в однонаправленном доверии между доменом «A» и доменом «B» пользователи в домене «A» имеют доступ к ресурсам в домене «B». Однако пользователи в домене «B» не имеют доступа к ресурсам в домене «A». Некоторые односторонние доверия могут являться либо нетранзитивными, либо транзитивными, в зависимости от типа создаваемого доверия. Дополнительные сведения о типах доверия автономных файлов см. в разделе Общее представление о типах доверия.

Двустороннее доверие

Все отношения доверия доменов в лесу Windows Server 2008 или Windows Server 2008 R2 являются двусторонними, транзитивными отношениями доверия. При создании нового дочернего домена между дочерним доменом и родительским доменом автоматически создается двустороннее транзитивное отношение доверия. В двустороннем отношении доверия домен «A» доверяет домену «B», а домен «B» доверяет домену «A». Это означает, что запросы проверки подлинности могут передаваться между двумя доменами в обоих направлениях. Некоторые двусторонние отношения доверия могут быть либо нетранзитивными, либо транзитивными, в зависимости от типа создаваемого доверия. Дополнительные сведения см. в разделе Общее представление о типах доверия.

Домен Windows Server 2008 или Windows Server 2008 R2 может устанавливать односторонние или двусторонние отношения доверия со следующими доменами и сферами:

  • домены Windows Server 2008 или Windows Server 2008 R2 в том же лесу;

  • домены Windows Server 2008 или Windows Server 2008 R2 в другом лесу;

  • домены Windows Server 2003 в том же лесу;

  • домены Windows Server 2003 в другом лесу;

  • домены Windows NT 4.0;

  • сферы Kerberos версии 5 (V5).

Дополнительные сведения о протоколе Kerberos V5 см. в статье о проверке подлинности Kerberos V5 (http://go.microsoft.com/fwlink/?LinkId=92699).

Дополнительные ссылки