Uni- oder bidirektionale externe Vertrauensstellung

Eine externe Vertrauensstellung kann als uni- oder bidirektionale Vertrauensstellung zu einer einzelnen Domäne (in einer anderen Gesamtstruktur) eingerichtet werden und ist nie transitiv!

Sie wird verwendet wenn Benutzer Zugriff auf Ressourcen einer anderen Domäne einer anderen Gesamtstruktur brauchen und keine Gesamtstrukturvertrauensstellung besteht. Da nicht transitiv spielt es keine Rolle ob diese Domäne weiteren Domänen vertraut.

Diese Vetrauensstellungen werden aufgebaut wenn kein Windows Server 2003 zur Verfügung steht. Hiermit könnte man direkt die Gesamstrukturen miteinander verbinden.

Die Richtung bei solchen Vertrauensstellungen kann man sich am besten mit einem Schlüssel merken. Wir haben zwei Standorte, A wie Atlanta und B wie Bangkok. Wenn die Mitarbeiter aus B sich bei A anmelden wollen, dann brauchen sie einen Schlüssel - auf Domänen bezogen muss A also B vertrauen, ihnen also den Schlüssel geben, damit die Mitarbeiter von B auf das Netzwerk in A zugreifen können.

Merkbild "unidirektionale Vertrauensstellung":
A (links) vertraut B (rechts).
A gibt B seinen Schlüssel.
Dann kann B alles bei A lesen, A aber nicht auf B zugreifen.


Bei der Einrichtung einer Vertrauensstellung über das MMC-Snap-In "Active Directory-Domänen und -Vertrauensstellungen" muss man zwischen einer "domänenweiten Authentifizierung" oder "selektiven Authentifizierung" wählen. Dies kann später noch geändert werden! Die domänenweite Authentifizierung ist Standardeinstellung und ermöglicht einen uneingeschränkten Zugriff durch jeden Benutzer der angegebenen Domäne auf alle Ressourcen der lokalen Domäne.

Selektive Authentifizierung ist sicherer und bedeutet: Domänencontroller überprüfen jedes einzelne Konto, ob es berechtigt ist, auf eine Ressource zuzugreifen.

Trackbacks

Trackback specific URI for this entry

This link is not meant to be clicked. It contains the trackback URI for this entry. You can use this URI to send ping- & trackbacks from your own blog to this entry. To copy the link, right click and select "Copy Shortcut" in Internet Explorer or "Copy Link Location" in Mozilla.

No Trackbacks

Comments

Display comments as Linear | Threaded

Kiara Gut on :

Ich habe eine Frage zu den Forest und Trusts.

Wenn man von einer Admin Forest, Shared Service Forest und X Forest spricht und folgendes möglich ist:
Admin Forest kann auf Ressourcen beider anderen Forest zugreifen
Die beiden anderen Forests können nicht auf die Ressourcen der Admin Forest zugreifen.
Die beiden anderen Forest können gegenseitig auf ihre Ressourcen zugreifen.

Wie wurde dies wohl umgesetzt?

Danke für deine Rückmeldung.

Gruss Kiara

Add Comment

Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
Standard emoticons like :-) and ;-) are converted to images.
tweetbackcheck