Являются ли доверительные отношения лесов Active Directory транзитивными?
-
04-07-2019 - |
Вопрос
Я работаю над устранением неполадок в разрабатываемом приложении, которое использует информацию из Active Directory в среде с несколькими лесами, и текущая проблема заключается в том, чтобы выяснить, являются ли доверительные отношения между лесами транзитивными, и если да, то при каких условиях.
Настройка:Используя Active Directory 2003, ЛесА имеет двустороннее лесное доверие с ЛесБ. ЛесБ имеет двустороннее лесное доверие с ЛесC.
Существуют ли в этой ситуации какие-либо доверительные отношения между ForestA и ForestC?Я нашел противоречивую информацию;эта первая ссылка ясно указывает на то, что доверие к лесу не является переходным по отношению к другим лесам:
Лесные трасты могут создаваться только между двумя лесами и не могут быть неявно расширены на третий лес.Это означает, что если между лесом 1 и лесом 2 создано доверие леса, а также между лесом 2 и лесом 3, то лес 1 не будет иметь неявного доверия с лесом 3.
Однако в списке типов доверия я также могу найти указание на то, что доверия лесов являются транзитивными:
Тип доверия:Лес Транзитивность:Переходный
Кроме того, доверительные отношения леса отображаются как «транзитивные» в списке доверительных отношений активного каталога при просмотре через «Управление доменами и доверительными отношениями».
Означает ли это, что лесное доверие является транзитивным? В ПРЕДЕЛАХ доверчивому лесу, а не другим лесам?Итак, в ранее упомянутом сценарии:
ЛесА <-> ЛесБ <-> ЛесC
Субдомены будут получать доверие леса через транзитивность (поэтому subdom1.ЛесА доверял бы офису7.ЛесБ), но доступ будет разделен между ЛесА и ЛесБ.Правильно ли это, или меня смутила довольно запутанная информация, которую публикует Microsoft?Есть ли у кого-нибудь личный опыт в этом вопросе, которым они могут поделиться?
Решение
В частности, я считаю, что «переходный» в Transitive Forest Trusts Microsoft относится к доменам внутри каждого леса, а не от леса к лесу к лесу.
Например.
Лес 1 с корневым доменом A и двумя дочерними доменами B и C Лес 2 с корневым доменом X и двумя дочерними доменами Y и Z
При использовании доверительного домена транзитивного леса Z будет автоматически доверять домену C без необходимости создания прямой доверительной ссылки (сокращенное доверие).
Другие советы
Тестирование с тремя доменами показывает, что информация из доверительных отношений в лесах правильный; когда я настраивал три леса в конфигурации ForestA < - > ForestB & Lt; - & Gt; ForestC ForestA не удалось увидеть учетные данные ForestC.
Поперечные лесные трасты НЕ являются переходными. Родитель / ребенок Доман / доверительные отношения с деревьями ...
http://technet.microsoft.com/ ан-нас / библиотека / cc773178 (WS.10) .aspx
Доверие домена NT 4 не было таким транзитивным. Не уверен насчет нашей эры.