Internet Information Services 6.0

         

Доверительные отношения



Таблица 18.1. Доверительные отношения, поддерживаемые доменами на базе Windows Server 2003

Доверительные отношения
Характеристика
Описание
Доверительные отношения внутри дерева


Двусторонние, транзитивные
Устанавливаются автоматически при создании в дереве нового домена. В рамках дерева доменов отношения описываются схемой "родитель-потомок"
Доверительные отношения внутри леса
Двусторонние, транзитивные
Устанавливаются автоматически при создании в существующем лесе нового дерева доменов. Фактически доверительные отношения устанавливаются между корневым доменом леса и создаваемым доменом, который будет являться корневым для нового дерева
Доверительные отношения между лесами доменов
Двусторонние или односторонние, транзитивные
Устанавливаются администраторами лесов доменов вручную. При этом администраторы сами решают — будут отношения двусторонними или односторонними
Перекрестные (shortcut) доверительные отношения
Односторонние или двусторонние, транзитивные
Устанавливаются между доменами различных деревьев, принадлежащих к одному лесу. Необходимость доверительных отношений данного типа не всегда очевидна, поскольку между доменами, принадлежащими одному лесу, через корневые домены автоматически устанавливаются неявные доверительные отношения. Перекрестные отношения доверия позволяют повысить эффективность взаимодействия между двумя доменами, уменьшая путь доверия (trust path). Путь доверия — последовательность переходов между доверяющими друг другу доменами, требуемых для аутентификации запроса. В случае неявных доверительных отношений этот путь может включать в себя несколько переходов, которые перекрестные отношения доверия позволяют избежать
Доверительные отношения с внешними доменами
Односторонние или двусторонние, нетранзитивные
Устанавливаются между доменами, принадлежащими к разным лесам, либо между доменом Windows Server 2003 и доменом Windows NT. Этот тип доверительных отношений может использоваться для соединения лесов, когда невозможно установить отношения доверия между лесами в целом (вследствие того, что один или оба леса не находятся на функциональном уровне Windows Server 2003)
Доверительные отношения между областями Kerberos
Односторонние или двусторонние, транзитивные или нетранзитивные
Устанавливаются между Windows Server 2003-доменом и областью Kerberos v5, реализованной не на базе Windows. Данный тип доверительных отношений может использоваться для обеспечения сквозной аутентификации на Windows и UNIX-системах

Обратите внимание, что доверительные отношения внутри леса и внутри дерева доменов устанавливаются системой автоматически, в процессе создания домена или дерева доменов. Администратор не может как-либо отозвать их или удалить. Все остальные типы доверительных отношений создаются администратором вручную.



Содержание раздела