Управление доверительными отношениями. Создание доверительных отношений.
Как говорилось в предыдущей главе, доверительные отношения выступают в качестве связующего звена между доменами, посредством которого домены организуются в иерархию. Для управления доверительными отношениями используется оснастка Active Directory Domain and Trusts (Active Directory – домены и доверия).
Также администратор может использовать для управления доверительными отношениями утилиту командной строки Netdom.exe.
Создание доверительных отношений
Для создания доверительных отношений запустите оснастку Active Directory Domain and Trusts и откройте окно свойств объекта, ассоциированного с нужным доменом. Перейдите на вкладку Trusts (рис. 19.8). В поле Domains trusted by this domain отображаются домены, которым доверяет конфигурируемый домен (исходящие доверительные отношения), а в поле Domains that trust this domain – домены, доверяющие конфигурируемому домену (входящие доверительные отношения). Для каждого значения отображается информация о типе доверительных отношений и транзитивности.
Применительно к типу доверительных отношений возможны следующие значения:
- Forest – доверительные отношения, установленные между лесами доменов;
- Tree Root – доверительные отношения, установленные между деревьями доменов в рамках одного леса доменов;
- Child – доверительные отношения, установленные в рамках дерева доменов между дочерним и родительским доменами;
- External – доверительные отношения, установленные с внешним доменом любого типа;
- Shortcut – перекрестные доверительные отношения, установленные между отдельными доменами леса;
- Realm – доверительные отношения, установленные между областями Kerberos.
Доверительные отношения между лесами доменов могут быть установлены только в том случае, если оба леса находятся на функциональном уровне Windows Server 2003.
Рис. 19.8. Вкладка Trusts окна свойств домена
Процесс создания доверительных отношений зависит от того, какой именно тип отношений администратор хочет создать. Например, если администратор хочет создать отношения полного доверия с внешним доменом, он должен создать пару встречных односторонних доверительных отношений.
Для установки доверительных отношений необходимо щелкнуть по кнопке New Trust (Новые доверительные отношения), что приведет к запуску мастера New Trust Wizard. В ходе работы мастера администратор должен будет предоставить мастеру информацию об имени домена, с которым устанавливаются доверительные отношения. Если домен с указанным именем не обнаружен, мастер предполагает, что подразумевается имя области Kerberos.
В пределах леса отношения доверия между родительским и дочерним доменами, а также между деревьями леса доменов не могут быть созданы администраторами вручную. Эти отношения создаются мастером установки Active Directory в ходе создания нового домена.