Windows Server 2003 Active Directory-Betriebshandbuch
Kapitel 1: Administration von Vertrauensstellungen für Domänen und Gesamtstrukturen
In diesem Kapitel finden Sie Schritt-für-Schritt-Anleitungen zur Verwaltung und Absicherung von Windows Server 2003-Domänen und -Vertrauensstellungen. Durch die Konfiguration von Domänen- und Gesamtstrukturvertrauensstellungen bestimmen Sie den Umfang der Netzwerkkommunikation innerhalb von Gesamtstrukturen und zwischen Gesamtstrukturen. Die Konfiguration von bestehenden Vertrauensstellungen spielt eine wichtige Rolle für den Betrieb und die Absicherung Ihrer Netzwerkinfrastruktur.
Anmerkung
Sie können Active Directory unter Windows Server 2003 Web Edition nicht installieren. Sie können die entsprechenden Server jedoch in eine Domäne aufnehmen. Weitere Informationen zu Windows Server 2003 Web Edition finden Sie im Artikel Überblick zu Windows Server 2003 Web Edition.
Danksagung
Erstellt durch: Microsoft Windows Server Security and Directory Services User Assistance Team
Autor: Nick Pierson
Lektor: Jim Becker
Auf dieser Seite
Einführung zum Thema Domänen- und GesamtstrukturvertrauensstellungenMithilfe von Windows Server 2003-Domänen- und -Gesamtstrukturvertrauensstellungen können Dienstadministratoren Beziehungen zwischen einer oder mehreren Domänen oder Gesamtstrukturen festlegen. Windows Server 2003-Domänen und -Gesamtstrukturen können auch über Vertrauensstellungen zu Kerberos-Realms und zu anderen Windows Server 2003-Gesamtstrukturen verfügen. Auch Vertrauensstellungen mit Microsoft Windows® 2000- Windows NT® 4.0-Domänen sind möglich. Bei einer Vertrauensstellung zwischen zwei Domänen vertraut jede Domäne den Authentifizierungsmechanismen der anderen Domäne. Vertrauensstellungen unterstützen den kontrollierten Zugriff auf Ressourcen in einer Ressourcendomäne (der vertrauenden Domäne), indem sie eingehende Authentifizierungsanfragen mithilfe einer vertrauenswürdigen Stelle (der vertrauenswürdigen Domäne) überprüfen. Vertrauensstellungen funktionieren so als Brücken, über die Authentifizierungsanfragen zwischen Domänen weitergeleitet werden können. Wie eine Vertrauensstellung Authentifizierungsanfragen weiterleitet, hängt davon ab, wie sie konfiguriert ist. Vertrauensbeziehungen können einseitig (Zugriff aus der vertrauenswürdigen Domäne auf Ressourcen der vertrauenden Domäne) oder bidirektional (Zugriff von jeder Domäne auf die jeweils andere Domäne) sein. Vertrauensstellungen sind entweder transitiv (die Vertrauensstellung gilt nur für die beiden Partnerdomänen) oder nicht transitiv (die Vertrauensstellung gilt auch für alle anderen Domänen, denen einer der beiden Partner vertraut) sein. In einigen Fällen werden Vertrauensstellungen automatisch beim Erstellen von Domänen eingerichtet. In anderen Fällen muss der Administrator die Art der Vertrauensstellung bestimmen und die entsprechenden Beziehungen explizit einrichten. Best Practices in Bezug auf Domänen- und GesamtstrukturvertrauensstellungenDie folgenden Best Practices steigern erwiesenermaßen die Verfügbarkeit, stellen einen störungsfreien Betrieb sicher oder vereinfachen die Administration. Wenn sich in Ihrer Gesamtstruktur Domänenbäume mit vielen Unterdomänen befinden und es zu spürbaren Verzögerungen bei der Benutzerauthentifizierung in untergeordneten Domänen kommt, dann können Sie den Authentifizierungsprozess optimieren, indem Sie Verknüpfungsvertrauensstellungen zwischen Domänen erstellen. Pflegen Sie eine aktuelle Liste der Vertrauensstellungen. Mit Nltest.exe können Sie eine Liste der Vertrauensstellungen erstellen und speichern. Weitere Informationen finden Sie unter http://technet2.microsoft.com/WindowsServer/de/Library/187291de-06a4-41ba-ad05-f602d58a96ae1031.mspx?mfr=true. Führen Sie regelmäßige Sicherungen der Domänencontroller durch. Weitere Informationen hierzu finden Sie im Abschnitt "Sicherung des Systemstatus"’. Verwalten von Domänen- und GesamtstrukturvertrauensstellungenWenn Ihre Organisation mit Benutzern oder Ressourcen in anderen Domänen, Realms oder Gesamtstrukturen zusammenarbeiten muss, ist es notwendig, die Domänen- und Gesamtstrukturvertrauensstellungen zu verwalten. Als erstes müssen Sie die entsprechenden Vertrauensstellungen erstellen und konfigurieren. Mehr zu diesem Thema erfahren Sie in den folgenden beiden Abschnitten:
Erstellen von Domänen- und GesamtstrukturvertrauensstellungenUnter Windows Server 2003 gibt es vier Arten von Vertrauensstellungen, die manuell erstellt werden müssen. Externe Vertrauensstellungen, Bereichsvertrauensstellungen und Gesamtstrukturvertrauensstellungen unterstützen die Interoperabilität mit Domänen, die sich nicht in Ihrer Gesamtstruktur befinden, und mit anderen Realms. Verknüpfungsvertrauensstellungen optimieren den Zugriff auf Ressourcen und Anmeldevorgänge zwischen Strukturen in der gleichen Gesamtstruktur In den nächsten Abschnitten werden die folgenden Aufgaben beschrieben:
Anmerkung Eine Vertrauensstellung ermöglicht Benutzern in einer vertrauenswürdigen Domäne nicht ohne weiteres den Zugriff auf eine Domäne, der vertraut wird. Die Benutzer benötigen die entsprechenden Zugriffsrechte. In einigen Fällen können Benutzer jedoch automatisch Zugriff auf Ressourcen haben, die der Gruppe Authentifizierte Benutzer zugewiesen wurde. Terminologie im Neue Vertrauensstellung-AssistentNeue Vertrauensstellungen werden unter Windows Server 2003 mit dem Neue Vertrauensstellungs-Assistenten erstellt. Bevor Sie diesen Assistenten nutzen, sollten Sie mit der entsprechenden Terminologie vertraut sein:
Bekannte Probleme beim Erstellen von Domänen- und GesamtstrukturvertrauensstellungenBevor Sie mit dem Erstellen von Domänen- und Gesamtstrukturvertrauensstellungen unter Windows Server 2003 beginnen, sollten Sie sich über die folgenden bekannten Probleme informieren:
Erstellen von externen VertrauensstellungenUm eine unidirektionale oder bidirektionale nicht transitive Vertrauensstellung mit Domänen außerhalb Ihrer Gesamtstruktur einzurichten, können Sie eine externe Vertrauensstellung erstellen. Externe Vertrauensstellungen sind manchmal dann notwendig, wenn Benutzer Zugriff auf Ressourcen benötigen, die sich in einer Windows NT 4.0-Domäne oder einer Domäne in einem anderen Namespace in einer anderen Active Directory-Gesamtstruktur befinden, die nicht durch eine Gesamtstrukturvertrauensstellung verbunden ist. Weitere Informationen zu externen Vertrauensstellungen finden Sie im Abschnitt "How Domain and Forest Trusts Work" unter http://go.microsoft.com/fwlink/?LinkId=35356 (engl.). Anmerkung Vertrauensstellungen, die zwischen Windows NT 4.0- und Active Directory-Domänen erstellt werden, sind unidirektional und nicht transitiv. Sie benötigen eine NetBIOS-Namensauflösung. Anforderungen Die nachfolgenden Aufgaben können Sie mit den folgenden Tools ausführen:
Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700 (engl.). Anmerkung Wenn Sie über die entsprechenden administrativen Anmeldeinformationen für beide Domänen verfügen, können Sie beide Seiten einer externen Vertrauensstellung in einem Schritt erstellen. Hierzu gehen Sie nach den unten beschriebenen Schritten vor. Mit dem Verfahren “Erstellen einer unidirektionalen, eingehenden, externen Vertrauensstellung auf beiden Seiten” erstellen Sie zum Beispiel beide Seiten einer Vertrauensstellung in einem Schritt. Weitere Informationen finden Sie im Abschnitt "Anhang: Der Neue Vertrauensstellung-Assistent". Mit den folgenden Verfahren können Sie externe Vertrauensstellungen erstellen:
Erstellen einer unidirektionalen, eingehenden, externen Vertrauensstellung auf einer SeiteMit diesem Verfahren erstellen Sie eine unidirektionale, eingehende, externe Vertrauensstellung. Die neue Vertrauensstellung ist nicht funktionsfähig, bevor der Administrator der anderen Domäne eine entgegengesetzte Vertrauensstellung erstellt hat. Wenn Sie über administrative Berechtigungen für beide Domänen verfügen, können Sie beide Vertrauensstellungen in einem Schritt erstellen. Führen Sie hierzu den Schritt "Erstellen einer unidirektionalen, eingehenden, externen Vertrauensstellung auf beiden Seiten" aus. Eine unidirektionale, eingehende, externe Vertrauensstellung ermöglicht es den Benutzern Ihrer Domäne, auf die Ressourcen einer anderen Active Directory-Domäne (in einer anderen Gesamtstruktur) oder in einer Windows NT 4.0-Domäne zuzugreifen. Sie können eine solche Vertrauensstellung über den Neue Vertrauensstellung-Assistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700 (engl.). Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein.
Anmerkung: Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der Gegenseite das Verfahren "Erstellen einer unidirektionalen, ausgehenden, externen Vertrauensstellung auf einer Seite" mit dem gleichen Kennwort durchführen, das hier verwendet wurde. Erstellen einer unidirektionalen, eingehenden, externen Vertrauensstellung auf beiden SeitenMit diesem Verfahren erstellen Sie beide Seiten einer unidirektionalen, eingehenden, externen Vertrauensstellung. Sie benötigen administrative Berechtigungen für beide Domänen. Eine unidirektionale, eingehende, externe Vertrauensstellung ermöglicht es den Benutzern Ihrer Domäne, auf die Ressourcen einer anderen Active Directory-Domäne (in einer anderen Gesamtstruktur) oder in einer Windows NT 4.0-Domäne zuzugreifen. Sie können eine solche Vertrauensstellung über den Neue Vertrauensstellung-Assistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700 (engl.). Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein.
Erstellen einer unidirektionalen, ausgehenden, externen Vertrauensstellung auf einer SeiteMit diesem Verfahren erstellen Sie eine unidirektionale, ausgehende, externe Vertrauensstellung. Die neue Vertrauensstellung ist nicht funktionsfähig, bevor der Administrator der anderen Domäne eine entgegengesetzte Vertrauensstellung erstellt hat. Wenn Sie über administrative Berechtigungen für beide Domänen verfügen, können Sie beide Vertrauensstellungen in einem Schritt erstellen. Führen Sie hierzu den Schritt "Erstellen einer unidirektionalen, ausgehenden, externen Vertrauensstellung auf beiden Seiten" aus. Eine unidirektionale, ausgehende, externe Vertrauensstellung ermöglicht es den Benutzern einer anderen Active Directory-Domäne (in einer anderen Gesamtstruktur) oder in einer Windows NT 4.0-Domäne, auf die Ressourcen Ihrer Domäne zuzugreifen. Sie können eine solche Vertrauensstellung über den Neue Vertrauensstellung-Assistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700 (engl.). Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein.
Anmerkung: Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der Gegenseite das Verfahren "Erstellen einer unidirektionalen, eingehenden, externen Vertrauensstellung auf einer Seite" mit dem gleichen Kennwort durchführen, das hier verwendet wurde. Erstellen einer unidirektionalen, ausgehenden, externen Vertrauensstellung auf beiden SeitenMit diesem Verfahren erstellen Sie beide Seiten einer unidirektionalen, ausgehenden, externen Vertrauensstellung. Sie benötigen administrative Berechtigungen für beide Domänen. Eine unidirektionale, ausgehende, externe Vertrauensstellung ermöglicht es den Benutzern einer anderen Active Directory-Domäne (in einer anderen Gesamtstruktur) oder einer Windows NT 4.0-Domäne, auf die Ressourcen Ihrer Domäne zuzugreifen. Sie können eine solche Vertrauensstellung über den Neue Vertrauensstellung-Assistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700 (engl.). Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein.
Erstellen einer bidirektionalen, externen Vertrauensstellung auf einer SeiteMit diesem Verfahren erstellen Sie eine bidirektionale, externe Vertrauensstellung. Die neue Vertrauensstellung ist nicht funktionsfähig, bevor der Administrator der anderen Domäne eine entgegengesetzte Vertrauensstellung erstellt hat. Wenn Sie über administrative Berechtigungen für beide Domänen verfügen, können Sie beide Vertrauensstellungen in einem Schritt erstellen. Führen Sie hierzu den Schritt "Erstellen einer unidirektionalen, eingehenden, externen Vertrauensstellung auf beiden Seiten" aus. Eine bidirektionale, externe Vertrauensstellung ermöglicht den Benutzern beider Domänen einen gegenseitigen Zugriff auf die Ressourcen der anderen Domäne. Sie können eine solche Vertrauensstellung über den Neue Vertrauensstellung-Assistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700 (engl.). Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein.
Anmerkung: Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der Gegenseite das Verfahren mit dem gleichen Kennwort durchführen, das hier verwendet wurde. Erstellen einer bidirektionalen, externen Vertrauensstellung auf beiden SeitenMit diesem Verfahren erstellen Sie beide Seiten einer bidirektionalen, externen Vertrauensstellung. Sie benötigen administrative Berechtigungen für beide Domänen. Eine bidirektionale, externe Vertrauensstellung ermöglicht den Benutzern beider Domänen einen gegenseitigen Zugriff auf die Ressourcen der anderen Domäne. Sie können eine solche Vertrauensstellung über den Neue Vertrauensstellung-Assistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700 (engl.). Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein.
Erstellen von VerknüpfungsvertrauensstellungenEine Verknüpfungsvertrauensstellung ist eine manuell erstellte Vertrauensstellung, die den Vertrauenspfad verkürzt und so die Authentifizierungsgeschwindigkeit erhöht. Dies kann zu schnelleren Anmeldevorgängen und einem schnelleren Ressourcenzugriff führen. Ein Vertrauenspfad ist eine Kette von mehreren Vertrauensstellungen, die eine Vertrauensstellung zwischen Domänen ermöglicht, die nicht direkt aneinander grenzen. Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=35356 (engl.). Anforderungen Die nachfolgenden Aufgaben können Sie mit den folgenden Tools ausführen:
Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700 (engl.). Anmerkung Wenn Sie über die entsprechenden administrativen Anmeldeinformationen für beide Domänen verfügen, können Sie beide Seiten einer Verknüpfungsvertrauensstellung in einem Schritt erstellen. Hierzu gehen Sie nach den unten beschriebenen Schritten vor. Weitere Informationen finden Sie im Abschnitt "Anhang: Der Neue Vertrauensstellung-Assistent". Mit den folgenden Verfahren können Sie Verknüpfungsvertrauensstellungen erstellen:
Erstellen einer unidirektionalen, eingehenden Verknüpfungsvertrauensstellung auf einer SeiteMit diesem Verfahren erstellen Sie eine unidirektionale, eingehende, Verknüpfungsvertrauensstellung. Die neue Vertrauensstellung ist nicht funktionsfähig, bevor der Administrator der anderen Domäne eine entgegengesetzte Vertrauensstellung erstellt hat. Wenn Sie über administrative Berechtigungen für beide Domänen verfügen, können Sie beide Vertrauensstellungen in einem Schritt erstellen. Führen Sie hierzu den Schritt "Erstellen einer unidirektionalen, eingehenden, externen Vertrauensstellung auf beiden Seiten" aus. Eine unidirektionale, eingehende Verknüpfungsvertrauensstellung ermöglicht den Benutzern aus Ihrer Windows Server 2003-Domäne (der Domäne, an der Sie beim Ausführen des Assistenten für neue Vertrauensstellungen angemeldet sind) einen schnelleren Zugriff auf die Ressourcen einer anderen Domäne, die sich in der gleichen Gesamtstruktur, jedoch in einer anderen Struktur befindet. Sie können eine solche Vertrauensstellung über den Neue Vertrauensstellung-Assistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter Windows Server 2003 Technical Reference (engl.). Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein.
Anmerkung: Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der Gegenseite das Verfahren "Erstellen einer unidirektionalen, ausgehenden Verknüpfungsvertrauensstellung auf einer Seite" mit dem gleichen Kennwort durchführen, das hier verwendet wurde. Erstellen einer unidirektionalen, eingehenden Verknüpfungsvertrauensstellung auf beiden SeitenMit diesem Verfahren erstellen Sie beide Seiten einer unidirektionalen, eingehenden Verknüpfungsvertrauensstellung. Sie benötigen administrative Berechtigungen für beide Domänen. Eine unidirektionale, eingehende Verknüpfungsvertrauensstellung ermöglicht den Benutzern aus Ihrer Windows Server 2003-Domäne (der Domäne, an der Sie beim Ausführen des Assistenten für neue Vertrauensstellungen angemeldet sind) einen schnelleren Zugriff auf die Ressourcen einer anderen Domäne, die sich in der gleichen Gesamtstruktur, jedoch in einer anderen Struktur befindet. Sie können eine solche Vertrauensstellung über den Neue Vertrauensstellung-Assistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter Windows Server 2003 Technical Reference (engl.). Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein.
Erstellen einer unidirektionalen, ausgehenden Verknüpfungsvertrauensstellung auf einer SeiteMit diesem Verfahren erstellen Sie eine unidirektionale, ausgehende, externe Vertrauensstellung. Die neue Vertrauensstellung ist nicht funktionsfähig, bevor der Administrator der anderen Domäne eine entgegengesetzte Vertrauensstellung erstellt hat. Wenn Sie über administrative Berechtigungen für beide Domänen verfügen, können Sie beide Vertrauensstellungen in einem Schritt erstellen. Führen Sie hierzu den Schritt "Erstellen einer unidirektionalen, ausgehenden Verknüpfungsvertrauensstellung auf beiden Seiten" aus. Eine unidirektionale, ausgehende Verknüpfungsvertrauensstellung ermöglicht den Benutzern einer anderen Domäne, die sich in der gleichen Gesamtstruktur, jedoch in einer anderen Struktur befindet, einen schnelleren Zugriff auf die Ressourcen in Ihrer Windows Server 2003-Domäne Sie können eine solche Vertrauensstellung über den Neue Vertrauensstellung-Assistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter Windows Server 2003 Technical Reference (engl.). Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein.
Anmerkung: Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der Gegenseite das Verfahren "Erstellen einer unidirektionalen, eingehenden Verknüpfungsvertrauensstellung auf einer Seite" mit dem gleichen Kennwort durchführen, das hier verwendet wurde. Erstellen einer unidirektionalen, ausgehenden Verknüpfungsvertrauensstellung auf beiden SeitenMit diesem Verfahren erstellen Sie beide Seiten einer unidirektionalen, ausgehenden Verknüpfungsvertrauensstellung. Sie benötigen administrative Berechtigungen für beide Domänen. Eine unidirektionale, ausgehende Verknüpfungsvertrauensstellung ermöglicht den Benutzern einer anderen Domäne, die sich in der gleichen Gesamtstruktur, jedoch in einer anderen Struktur befindet, einen schnelleren Zugriff auf die Ressourcen in Ihrer Windows Server 2003-Domäne Sie können eine solche Vertrauensstellung über den Neue Vertrauensstellung-Assistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter Windows Server 2003 Technical Reference (engl.). Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein.
Erstellen einer bidirektionalen Verknüpfungsvertrauensstellung auf einer SeiteMit diesem Verfahren erstellen Sie eine bidirektionale Verknüpfungsvertrauensstellung. Die neue Vertrauensstellung ist nicht funktionsfähig, bevor der Administrator der anderen Domäne eine entgegengesetzte Vertrauensstellung erstellt hat. Wenn Sie über administrative Berechtigungen für beide Domänen verfügen, können Sie beide Vertrauensstellungen in einem Schritt erstellen. Führen Sie hierzu den Schritt "Erstellen einer bidirektionalen Verknüpfungsvertrauensstellung auf beiden Seiten" aus. Eine bidirektionale Verknüpfungsvertrauensstellung ermöglicht den Benutzern beider Domänen einen schnelleren Zugriff auf die Ressourcen der jeweiligen anderen Domäne. Sie können eine solche Vertrauensstellung über den Neue Vertrauensstellung-Assistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter Windows Server 2003 Technical Reference (engl.). Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein.
Anmerkung: Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der Gegenseite das Verfahren mit dem gleichen Kennwort durchführen, das hier verwendet wurde. Erstellen einer bidirektionalen Verknüpfungsvertrauensstellung auf beiden SeitenMit diesem Verfahren erstellen Sie beide Seiten einer bidirektionalen Verknüpfungsvertrauensstellung. Sie benötigen administrative Berechtigungen für beide Domänen. Eine bidirektionale Verknüpfungsvertrauensstellung ermöglicht den Benutzern beider Domänen einen schnelleren Zugriff auf die Ressourcen der jeweiligen anderen Domäne. Sie können eine solche Vertrauensstellung über den Neue Vertrauensstellung-Assistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter Windows Server 2003 Technical Reference (engl.). Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein.
Erstellen von GesamtstrukturvertrauensstellungenIn einer Windows Server 2003-Gesamtstruktur können Sie zwei nicht verbundene Windows Server 2003-Gesamtstrukturen mit einer unidirektionalen oder bidirektionalen transitiven Gesamtstrukturvertrauensstellung verknüpfen. Jede Domäne beider Gesamtstrukturen vertraut so jeder Domäne der anderen Gesamtstruktur. Weitere Informationen zu Gesamtstrukturvertrauensstellungen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=35356 (engl.). Anforderungen Die folgenden Anforderungen bestehen für das Erstellen von Gesamtstrukturvertrauensstellungen:
Die nachfolgenden Aufgaben können Sie mit den folgenden Tools ausführen:
Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700 (engl.). Anmerkung Wenn Sie über die entsprechenden administrativen Anmeldeinformationen für beide Gesamtstrukturen verfügen, können Sie beide Seiten einer Gesamtstrukturvertrauensstellung in einem Schritt erstellen. Hierzu gehen Sie nach den unten beschriebenen Schritten vor. Weiter Informationen finden Sie im Abschnitt "Anhang: Der Neue Vertrauensstellung-Assistent" Mit den folgenden Verfahren können Sie Gesamtstrukturvertrauensstellungen erstellen:
Erstellen einer unidirektionalen, eingehenden Gesamtstrukturvertrauensstellung auf einer SeiteMit diesem Verfahren erstellen Sie eine unidirektionale, eingehende Gesamtstrukturvertrauensstellung. Die neue Vertrauensstellung ist nicht funktionsfähig, bevor der Administrator der anderen Gesamtstruktur eine entgegengesetzte Vertrauensstellung erstellt hat. Wenn Sie über administrative Berechtigungen für beide Gesamtstrukturen verfügen, können Sie beide Vertrauensstellungen in einem Schritt erstellen. Führen Sie hierzu den Schritt "Erstellen einer unidirektionalen, eingehenden Gesamtstrukturvertrauensstellung auf beiden Seiten" aus. Sie können eine solche Vertrauensstellung über den Neue Vertrauensstellung-Assistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter Windows Server 2003 Technical Reference (engl.). Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins in der Stammdomäne der Gesamtstruktur sein. Wenn Sie Mitglied der Gruppe "Erstellung eingehender Gesamtstrukturvertrauensstellung" sind, können Sie eine unidirektionale, eingehende Gesamtstrukturvertrauensstellung erstellen. Weitere Informationen zur Gruppe "Erstellung eingehender Gesamtstrukturvertrauensstellung" finden Sie im Artikel "How Domain and Forest Trusts Work" unter: Windows Server 2003 Technical Reference (engl.).
Anmerkung: Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der Gegenseite das Verfahren "Erstellen einer unidirektionalen, ausgehenden Gesamtstrukturvertrauensstellung auf einer Seite" mit dem gleichen Kennwort erstellen, das hier verwendet wurde. Erstellen einer unidirektionalen, eingehenden Gesamtstrukturvertrauensstellung auf beiden SeitenMit diesem Verfahren erstellen Sie beide Seiten einer unidirektionalen, eingehenden Gesamtstrukturvertrauensstellung. Sie benötigen administrative Berechtigungen für beide Gesamtstrukturen. Eine unidirektionale, eingehende Gesamtstrukturvertrauensstellung ermöglicht es Benutzern, aus Ihrer Windows Server 2003-Gesamtstruktur auf die Ressourcen einer anderen Windows Server 2003-Gesamstruktur zuzugreifen. Sie können eine solche Vertrauensstellung über den Neue Vertrauensstellung-Assistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter Windows Server 2003 Technical Reference (engl.). Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins in der Stammdomäne der Gesamtstruktur sein. Wenn Sie Mitglied der Gruppe "Erstellung eingehender Gesamtstrukturvertrauensstellung" sind, können Sie eine unidirektionale, eingehende Gesamtstrukturvertrauensstellung erstellen. Weitere Informationen zur Gruppe "Erstellung eingehender Gesamtstrukturvertrauensstellung" finden Sie im Artikel "How Domain and Forest Trusts Work" unter: Windows Server 2003 Technical Reference (engl.).
Erstellen einer unidirektionalen, ausgehenden Gesamtstrukturvertrauensstellung auf einer SeiteMit diesem Verfahren erstellen Sie eine unidirektionale, ausgehende Gesamtstrukturvertrauensstellung. Die neue Vertrauensstellung ist nicht funktionsfähig, bevor der Administrator der anderen Gesamtstruktur eine entgegengesetzte Vertrauensstellung erstellt hat. Wenn Sie über administrative Berechtigungen für beide Gesamtstrukturen verfügen, können Sie beide Vertrauensstellung in einem Schritt erstellen. Führen Sie hierzu den Schritt "Erstellen einer unidirektionalen, ausgehenden Gesamtstrukturvertrauensstellung auf beiden Seiten" aus. Eine unidirektionale, ausgehende Gesamtstrukturvertrauensstellung ermöglicht es Benutzern einer anderen Windows Server 2003-Gesamtstruktur, auf die Ressourcen Ihrer Windows Server 2003-Gesamstruktur zuzugreifen. Sie können eine solche Vertrauensstellung über den Neue Vertrauensstellung-Assistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter Windows Server 2003 Technical Reference (engl.). Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins in der Stammdomäne der Gesamtstruktur sein. Wenn Sie Mitglied der Gruppe "Erstellung eingehender Gesamtstrukturvertrauensstellung" sind, können Sie eine unidirektionale, eingehende Gesamtstrukturvertrauensstellung erstellen. Weitere Informationen zur Gruppe "Erstellung eingehender Gesamtstrukturvertrauensstellung" finden Sie im Artikel "How Domain and Forest Trusts Work" unter: Windows Server 2003 Technical Reference (engl.).
Anmerkung: Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der Gegenseite das Verfahren "Erstellen einer unidirektionalen, eingehenden Gesamtstrukturvertrauensstellung auf einer Seite" mit dem gleichen Kennwort erstellen, das hier verwendet wurde. Erstellen einer unidirektionalen, ausgehenden Gesamtstrukturvertrauensstellung auf beiden SeitenMit diesem Verfahren erstellen Sie beide Seiten einer unidirektionalen, ausgehenden Gesamtstrukturvertrauensstellung. Sie benötigen administrative Berechtigungen für beide Gesamtstrukturen. Eine unidirektionale, ausgehende Gesamtstrukturvertrauensstellung ermöglicht es Benutzern, aus Ihrer Windows Server 2003-Gesamtstruktur auf die Ressourcen einer anderen Windows Server 2003-Gesamstruktur zuzugreifen. Sie können eine solche Vertrauensstellung über den Neue Vertrauensstellung-Assistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter Windows Server 2003 Technical Reference (engl.). Administrative Berechtigungen Um dieses Verfahren ausführen zu können müssen, Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins in der Stammdomäne der Gesamtstruktur sein. Wenn Sie Mitglied der Gruppe "Erstellung eingehender Gesamtstrukturvertrauensstellung" sind, können Sie eine unidirektionale, eingehende Gesamtstrukturvertrauensstellung erstellen. Weitere Informationen zur Gruppe "Erstellung eingehender Gesamtstrukturvertrauensstellung" finden Sie im Artikel "How Domain and Forest Trusts Work" unter: Windows Server 2003 Technical Reference (engl.).
Erstellen einer bidirektionalen Gesamtstrukturvertrauensstellung auf einer SeiteMit diesem Verfahren erstellen Sie eine bidirektionale Gesamtstrukturvertrauensstellung. Die neue Vertrauensstellung ist nicht funktionsfähig, bevor der Administrator der anderen Gesamtstruktur eine entgegengesetzte Vertrauensstellung erstellt hat. Wenn Sie über administrative Berechtigungen für beide Gesamtstrukturen verfügen, können Sie beide Vertrauensstellungen in einem Schritt erstellen. Führen Sie hierzu den Schritt "Erstellen einer bidirektionalen Gesamtstrukturvertrauensstellung auf beiden Seiten" aus. Eine bidirektionale Gesamtstrukturvertrauensstellung ermöglicht es den Benutzern, aus beiden Gesamtstrukturen auf die Ressourcen der jeweils anderen Gesamtstruktur zuzugreifen. Sie können eine solche Vertrauensstellung über den Neue Vertrauensstellung-Assistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter Windows Server 2003 Technical Reference (engl.). Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins in der Stammdomäne der Gesamtstruktur sein. Wenn Sie Mitglied der Gruppe "Erstellung eingehender Gesamtstrukturvertrauensstellung" sind, können Sie eine unidirektionale, eingehende Gesamtstrukturvertrauensstellung erstellen. Weitere Informationen zur Gruppe "Erstellung eingehender Gesamtstrukturvertrauensstellung" finden Sie im Artikel "How Domain and Forest Trusts Work" unter: Windows Server 2003 Technical Reference (engl.).
Anmerkung: Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der Gegenseite ebenfalls eine Vertrauensstellung mit dem gleichen Kennwort erstellen, das hier verwendet wurde. Erstellen einer bidirektionalen Gesamtstrukturvertrauensstellung auf beiden SeitenMit diesem Verfahren erstellen Sie beide Seiten einer bidirektionalen Gesamtstrukturvertrauensstellung. Sie benötigen administrative Berechtigungen für beide Gesamtstrukturen. Eine bidirektionale Gesamtstrukturvertrauensstellung ermöglicht es den Benutzern, aus beiden Gesamtstrukturen auf die Ressourcen der jeweils anderen Gesamtstruktur zuzugreifen. Sie können eine solche Vertrauensstellung über den Neue Vertrauensstellung-Assistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter Windows Server 2003 Technical Reference (engl.). Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins in der Stammdomäne der Gesamtstruktur sein. Wenn Sie Mitglied der Gruppe "Erstellung eingehender Gesamtstrukturvertrauensstellung" sind, können Sie eine unidirektionale, eingehende Gesamtstrukturvertrauensstellung erstellen. Weitere Informationen zur Gruppe "Erstellung eingehender Gesamtstrukturvertrauensstellung" finden Sie im Artikel "How Domain and Forest Trusts Work" unter: Windows Server 2003 Technical Reference (engl.).
Erstellen von BereichsvertrauensstellungMit einer Bereichsvertrauensstellung können Sie eine unidirektionale oder bidirektionale nicht transitive Vertrauensstellung zwischen einem Nicht-Windows Kerberos-Realm und Ihrer Organisation herstellen. Weitere Informationen zu Bereichsvertrauensstellungen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=35356 (engl.). Anforderungen Die nachfolgenden Aufgaben können Sie mit den folgenden Tools ausführen:
Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700 (engl.). Anmerkung Der neue Assistent ist nicht in der Lage, beide Seiten einer Bereichsvertrauensstellung gleichzeitig zu erstellen. Weiter Informationen finden Sie im Abschnitt "Anhang: Der Neue Vertrauensstellung-Assistent" Mit den folgenden Verfahren können Sie Bereichsvertrauensstellungen erstellen:
Erstellen einer unidirektionalen, eingehenden BereichsvertrauensstellungEine unidirektionale, eingehende Bereichsvertrauensstellung ermöglicht es Benutzern, aus Ihrer Windows Server 2003-Domäne (der Domäne, an der Sie beim Ausführen des Assistenten für neue Vertrauensstellungen angemeldet sind) auf den anderen Kerberos-Bereich zuzugreifen. Wenn Sie beispielsweise Administrator der Domäne sales.wingtiptoys.com sind und ihre Benutzer Zugriff auf die Ressourcen eines anderen Kerberos-Bereichs benötigen, dann können Sie dies mit dem folgenden Verfahren ermöglichen. Sie können eine solche Vertrauensstellung über den Neue Vertrauensstellung-Assistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter Windows Server 2003 Technical Reference (engl.). Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein.
Anmerkung: Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der Gegenseite ebenfalls eine Vertrauensstellung mit dem gleichen Kennwort erstellen, das hier verwendet wurde. Erstellen einer unidirektionalen, ausgehenden BereichsvertrauensstellungEine unidirektionale, ausgehende Bereichsvertrauensstellung ermöglicht es Benutzern eines anderen Kerberos-Bereichs, auf Ressourcen Ihrer Windows Server 2003-Domäne zuzugreifen. Wenn Sie beispielsweise Administrator der Domäne sales.wingtiptoys.com sind und die Benutzer eines anderen Kerberos-Bereichs Zugriff auf die Ressourcen der Domäne benötigen, dann können Sie dies mit dem folgenden Verfahren ermöglichen. Sie können eine solche Vertrauensstellung über den Neue Vertrauensstellung-Assistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter Windows Server 2003 Technical Reference (engl.). Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein.
Anmerkung: Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der Gegenseite ebenfalls eine Vertrauensstellung mit dem gleichen Kennwort erstellen, das hier verwendet wurde. Erstellen einer bidirektionalen BereichsvertrauensstellungEine bidirektionale Bereichsvertrauensstellung ermöglicht den Benutzern der Windows Server 2003-Domäne und den Benutzern eines anderen Kerberos-Bereichs einen gegenseitigen Zugriff auf Ressourcen. Sie können eine solche Vertrauensstellung über den Neue Vertrauensstellung-Assistenten im Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Kommandozeilentool Netdom erstellen. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter Windows Server 2003 Technical Reference (engl.). Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein.
Anmerkung: Damit die Vertrauensstellung korrekt funktioniert, muss der Administrator der Gegenseite ebenfalls eine Vertrauensstellung mit dem gleichen Kennwort erstellen, das hier verwendet wurde. Konfiguration von Domänen- und GesamtstrukturvertrauensstellungenSie können nur manuelle erstelle Vertrauensstellungen entfernen. Standardmäßige bidirektionale transitive Vertrauensstellungen können nicht entfernt werden. Führen Sie zum Entfernen von Vertrauensstellungen die folgenden Aufgaben aus:
Prüfen und Entfernen von VertrauensstellungenNachdem eine Vertrauensstellung erstellt wurde möchten Sie möglicherweise prüfen ob diese wie gewünscht arbeitet oder das die Kommunikation über die Vertrauensstellung funktioniert. Anforderungen Die nachfolgenden Aufgaben können Sie mit den folgenden Tools ausführen:
Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700 (engl.). Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:
Prüfen einer VertrauensstellungSie können alle Vertrauensstellungen zwischen Domänen überprüfen - Vertrauensstellungen zwischen Realms jedoch nicht. Hierzu können Sie den Assistenten oder Netdom verwenden. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700 (engl.). Administrative Berechtigungen Um diese Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Prüfen einer Vertrauensstellung
Mithilfe der Windows-Oberfläche
Mithilfe der Eingabeaufforderung
Entfernen einer manuell erstellten VertrauensstellungSie können manuell erstellte Verknüpfungsvertrauensstellungen, externe Vertrauensstellungen, Bereichsvertrauensstellungen und Gesamtstrukturvertrauensstellungen entfernen. Standardmäßige Vertrauensstellungen und bidirektionale, transitive Vertrauensstellungen zwischen Domänen eine Gesamtstruktur können nicht entfernt werden. Wenn Sie planen, diese neu zu erstellen, ist es besonders wichtig, das erfolgreiche Entfernen der Vertrauensstellung zu überprüfen. Sie können zum Entfernen von Vertrauensstellungen den Assistenten oder Netdom verwenden. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700 (engl.). Administrative Berechtigungen Um diese Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Entfernen einer manuell erstellten Vertrauensstellung
Mithilfe der Windows-Oberfläche
Mithilfe der Eingabeaufforderung
Anmerkung Wenn Sie Netdom verwenden, müssen Sie die Option /force am Ende anfügen (hinter /remove). Ändern der Routingeinstellungen eines NamensuffixesNamensuffixrouting ist ein Mechanismus, der zum Routen von Authentifizierungsanfragen in durch Gesamtstrukturvertrauensstellungen verbundenen Windows Server 2003-Gesamtstrukturen genutzt wird. Um die Administration von Authentifizierungsanfragen zu vereinfachen, werden alle eindeutigen Namensuffixes standardmäßig geroutet. Ein eindeutiger Namensuffix ist ein Namensuffix in einer Gesamtstruktur, der keinem anderen Namensuffix untergeordnet ist (zum Beispiel ein UPN-Suffix, SPN-Suffix oder ein DNS-Gesamtstruktur- oder -Strukturname. Der DNS-Gesamtstrukturname fabrikam.com ist zum Beispiel in der Gesamtstruktur fabrikam.com ein eindeutiger Namensuffix. Weitere Informationen zu Namensuffixes finden Sie unter http://go.microsoft.com/fwlink/?LinkId=35414 (engl.). Anmerkung Ein Namensuffix, das Konflikte hervorruft, kann nicht aktiviert werden. Falls der Konflikt mit einem lokalen Benutzerprinzipalnamen-Suffix besteht, müssen Sie das lokale Benutzerprinzipalnamen-Suffix löschen, bevor Sie den Routingnamen aktivieren können. Falls der Konflikt mit einem Namen besteht, der von einem anderen Vertrauensstellungspartner beansprucht wird, müssen Sie den Namen in der anderen Vertrauensstellung deaktivieren, bevor Sie ihn für diese Vertrauensstellung aktivieren können. Anforderungen Die nachfolgenden Aufgaben können Sie mit den folgenden Tools ausführen:
Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700 (engl.). Diese Aufgabe können Sie mithilfe der folgenden Schritte ausführen:
Ändern des Routingstatus’ eines NamensuffixesSie können den Routingstatus mit dem Assistenten oder mithilfe von Netdom aktivieren und deaktivieren. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700 (engl.). Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Ändern des Routingstatus eines NamensuffixesMithilfe der Windows-Oberfläche
Aktivieren oder Deaktivieren eines bestehenden Namensuffixes für das RoutingMit diesem Verfahren können Sie verhindern, dass Authentifizierungsanfragen für bestimmte Namensuffixe an eine Gesamtstruktur geroutet werden. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700 (engl.). Anmerkung Wenn Sie ein Namensuffix deaktivieren, werden alle untergeordneten Objekte dieses DNS-Namens ebenfalls deaktiviert. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Aktivieren oder Deaktivieren eines bestehenden Namensuffixes für das RoutingMithilfe der Windows-Oberfläche
Ausschließen eines Namensuffixes vom Routing in der lokalen GesamtstrukturMit diesem Verfahren können Sie verhindern, dass Authentifizierungsanfragen für bestimmte Namensuffixe an eine Gesamtstruktur geroutet werden. Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700 (engl.). Anmerkung Wenn Sie ein Namensuffix deaktivieren, werden alle untergeordneten Objekte dieses DNS-Namens ebenfalls deaktiviert. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Ausschließen eines Namensuffixes vom Routing in der lokalen GesamtstrukturMithilfe der Windows-Oberfläche
Absichern von Domänen- und GesamtstrukturvertrauensstellungenBeim Erstellen von Sicherheitsprinzipalen in einer Domäne wird die Domänen-SID in die Sicherheitsprinzipal-SID eingeschlossen, um die Domäne zu identifizieren, in der das Sicherheitsprinzipal erstellt wurde. Die Domänen-SID ist ein wichtiges Merkmal eines Sicherheitsprinzipals, weil sie vom Sicherheits-Subsystem von Windows zum Überprüfen der Authentizität des Sicherheitsprinzipals verwendet wird. Ähnlich wird bei ausgehenden externen Vertrauensstellungen, die von der vertrauenden Domäne aus erstellt werden, mithilfe der SID-Filterung überprüft, ob eingehende Authentifizierungsanforderungen von Sicherheitsprinzipalen in der vertrauenswürdigen Domäne nur SIDs von Sicherheitsprinzipalen in der vertrauenswürdigen Domäne enthalten. Dazu werden die SIDs des eingehenden Sicherheitsprinzipals mit der Domänen-SID der vertrauenswürdigen Domäne verglichen. Wenn eine der Sicherheitsprinzipal-SIDs eine Domänen-SID enthält, die nicht die der vertrauenswürdigen Domäne ist, wird diese SID von der Vertrauensstellung entfernt. In diesem Kapitel werden folgenden Aufgaben beschreiben:
Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=35413 (engl.). Konfiguration von SID-FiltereinstellungenSicherheitsprinzipale in Active Directory haben ein Attribut mit dem Namen SIDHistory. In diesem Attribut können Administratoren alte SIDs des Benutzers eintragen. Dies ist bei Active Directory-Migrationen sehr praktisch - der Administrator muss nämlich so keine ACLs bearbeiten, und der Benutzer kann mit seiner alten SID auf die Ressourcen zugreifen. Unter bestimmten Umständen ist es jedoch für Domänenadministratoren möglich, das SIDHistory-Attribut zu nutzen, um SIDs neuen Benutzerkonten zuzuweisen und sich selbst Rechte zu verschaffen die er nicht haben sollte. Um einen solchen Angriff zu verhindern, aktiviert Windows Server 2003 die SID-Filterung automatisch für alle externen Vertrauensstellungen und Gesamtstrukturvertrauensstellungen, die unter Windows Server 2003 erstellt wurden. Bei externen Vertrauensstellungen, die unter Windows 2000 Server mit Service Pack 3 (SP3) oder früher erstellt wurden, muss die SID-Filterung manuell aktiviert werden. Anmerkung Sie können nicht das Standardverhalten deaktivieren, mit dem die SID-Filterung für neu erstellte externe Vertrauensstellungen aktiviert wird. Sie können die SID-Filterung nutzen, um migrierte SIDs aus bestimmten Domänen zu filtern. Wenn es zum Beispiel eine externe Vertrauensstellung gibt, durch die die Domäne Noam (unter Windows 2000 Server) der Domäne Acquired vertraut (ebenfalls unter Windows 2000 Server), dann kann ein Administrator der Domäne Noam manuell eine SID-Filterung für die Domäne Acquired einrichten, mit der alle SIDs mit einer Domänen-SID der Domäne Acquired erlaubt und alle anderen SIDs (zum Beispiel die migrierten, in SIDHistory gespeicherten SIDs) verboten sind. Anmerkung Wenden Sie die SID-Filterung nicht auf Domänen innerhalb einer Gesamtstruktur an. In diesem Fall würden SIDs entfernt, die für die Active Directory-Replikation notwendig sind. Außerdem wird es zu Authentifizierungsfehlern bei Benutzer kommen, die sich in Domänen befinden, denen transitiv über die isolierte Domäne vertraut wird. Zur weiteren Erhöhung der Gesamtstruktursicherheit sollten Sie möglicherweise die SID-Filterung für alle vorhandenen externen Vertrauensstellungen aktivieren, die mit Domänencontrollern unter Windows 2000 Service Pack 3 (oder früher) erstellt wurden. Sie können dazu mit Netdom.exe die SID-Filterung für vorhandene externe Vertrauensstellungen aktivieren, oder Sie können diese externen Vertrauensstellungen von einem Domänencontroller unter einem Betriebssystem der Windows Server 2003-Produktfamilie oder Windows 2000 Service Pack 4 (oder höher) neu erstellen. Weitere Informationen zur Aktivierung der SID-Filterung für Vertrauensstellungen, die unter Windows 2000 Server erstellt wurden, finden Sie unter http://go.microsoft.com/fwlink/?LinkId=18545 (engl.). Weitere Informationen zur SID-Filterung finden Sie unter http://go.microsoft.com/fwlink/?LinkId=35413 (engl.). Anforderungen Die nachfolgenden Aufgaben können Sie mit den folgenden Tools ausführen:
Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700 (engl.). Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:
Deaktivieren der SID-FilterungSie können die SID-Filterung für eine externe Vertrauensstellung mit dem Tool Netdom.exe deaktivieren; dies wird jedoch nicht empfohlen. Sie sollten das Deaktivieren der SID-Filterung nur in den folgenden Situationen in Betracht ziehen:
Weitere Informationen zur Arbeitsweise der SID-Filterung finden Sie unter http://go.microsoft.com/fwlink/?LinkId=35413 (engl.). Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700 (engl.). Administrative Berechtigungen Um diese Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. "Deaktivieren der SID-Filterung"
Aktivieren der SID-FilterungAdministrative Berechtigungen Um diese Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. "Aktivieren der SID-Filterung"
Konfiguration von selektiven AuthentifizierungseinstellungenAnforderungen Die nachfolgenden Aufgaben können Sie mit den folgenden Tools ausführen:
Weitere Informationen zum Kommandozeilentool Netdom finden Sie in der Technischen Referenz zu Windows Server 2003 unter http://go.microsoft.com/fwlink/?LinkId=41700 (engl.). Um diese Aufgabe auszuführen, sind die folgenden Schritte erforderlich:
Aktivieren der selektiven Authentifizierung über eine externe VertrauensstellungDie selektive Authentifizierung über eine externe Vertrauensstellung schränkt den Zugriff auf die Benutzer der vertrauten Domäne ein, denen explizit Authentifizierungsrechte für Computerobjekte (Ressourcencomputer) in der vertrauenden Domäne zugewiesen wurden. Um diese Rechte zuzuweisen, muss der Administrator diesen Benutzern das Recht Authentifizierung zulassen in Active Directory zuweisen. Weitere Informationen finden Sie im Artikel Zuweisen der Berechtigung „Authentifizierung zulassen“ auf Computern in der vertrauenden Domäne oder Gesamtstruktur. Weitere Informationen zur selektiven Authentifizierung finden Sie unter http://go.microsoft.com/fwlink/?LinkId=35413. Administrative Berechtigungen Um diese Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Aktivieren der selektiven Authentifizierung über eine externe VertrauensstellungMithilfe der Windows-Oberfläche
Anmerkung Wenn Sie auf Eigenschaften und dann auf die Registerkarte Authentifizierung klicken, werden nur Authentifizierungseinstellungen für ausgehende Vertrauensstellungen angezeigt. Um die Einstellungen für eingehende Vertrauensstellungen zu sehen, müssen Sie sich mit dem entsprechenden Domänencontroller verbinden. Aktivierten der selektiven Authentifizierung über eine GesamtstrukturvertrauensstellungDie selektive Authentifizierung über eine Gesamtstrukturvertrauensstellung schränkt den Zugriff auf die Benutzer der vertrauten Gesamtstruktur ein, denen explizit Authentifizierungsrechte für Computerobjekte (Ressourcencomputer) in der vertrauenden Gesamtstruktur zugewiesen wurden. Um diese Rechte zuzuweisen, muss der Administrator diesen Benutzern das Recht Authentifizierung zulassen in Active Directory zuweisen. Weitere Informationen finden Sie im Abschnitt Zuweisen der Berechtigung „Authentifizierung zulassen“ auf Computern in der vertrauenden Domäne oder Gesamtstruktur. Weitere Informationen zur selektiven Authentifizierung finden Sie unter http://go.microsoft.com/fwlink/?LinkId=35413 (engl.). Administrative Berechtigungen Um diese Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins (in der Stammdomäne der Gesamtstruktur) oder der Gruppe Organisations-Admins sein. Aktivierten der selektiven Authentifizierung über eine GesamtstrukturvertrauensstellungMithilfe der Windows-Oberfläche
Anmerkung Wenn Sie auf Eigenschaften und dann auf die Registerkarte Authentifizierung klicken, werden nur Authentifizierungseinstellungen für ausgehende Vertrauensstellungen angezeigt. Um die Einstellungen für eingehende Vertrauensstellungen zu sehen, müssen Sie sich mit dem entsprechenden Domänencontroller verbinden. Aktivieren der domänenweiten Authentifizierung über eine externe VertrauensstellungDie domänenweite Authentifizierung ermöglicht allen Benutzern der vertrauten Domäne einen uneingeschränkten Zugriff auf Ressourcen der vertrauenden Domäne. Diese Einstellung ist die Standardeinstellung für externe Vertrauensstellungen. Weitere Informationen zur domänenweiten Authentifizierung finden Sie unter http://go.microsoft.com/fwlink/?LinkId=35413 (engl.). Administrative Berechtigungen Um diese Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Aktivieren der domänenweiten Authentifizierung über eine externe VertrauensstellungMithilfe der Windows-Oberfläche
Anmerkung Wenn Sie auf Eigenschaften und dann auf die Registerkarte Authentifizierung klicken, werden nur Authentifizierungseinstellungen für ausgehende Vertrauensstellungen angezeigt. Um die Einstellungen für eingehende Vertrauensstellungen zu sehen, müssen Sie sich mit dem entsprechenden Domänencontroller verbinden. Aktivieren der gesamtstrukturweiten Authentifizierung über eine GesamtstrukturvertrauensstellungDie gesamtstrukturweite Authentifizierung ermöglicht allen Benutzern der vertrauten Gesamtstruktur einen uneingeschränkten Zugriff auf Ressourcen der vertrauenden Gesamtstruktur. Diese Einstellung ist die Standardeinstellung für Gesamtstrukturvertrauensstellungen. Weitere Informationen hierzu finden Sie unter http://go.microsoft.com/fwlink/?LinkId=35413 (engl.). Administrative Berechtigungen Um diese Schritte ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Aktivieren der gesamtstrukturweiten Authentifizierung über eine GesamtstrukturvertrauensstellungMithilfe der Windows-Oberfläche
Anmerkung Wenn Sie auf Eigenschaften und dann auf die Registerkarte Authentifizierung klicken, werden nur Authentifizierungseinstellungen für ausgehende Vertrauensstellungen angezeigt. Um die Einstellungen für eingehende Vertrauensstellungen zu sehen, müssen Sie sich mit dem entsprechenden Domänencontroller verbinden. Zuweisen der Berechtigung Authentifizierung zulassen auf Computern in der vertrauenden Domäne oder GesamtstrukturDamit Benutzer in vertrauten Windows Server 2003-Domänen oder -Gesamtstrukturen in der Lage sind, auf Ressourcen zuzugreifen, muss diesen das Recht Authentifizierung zulassen in Active Directory explizit zugewiesen werden. Weitere Informationen finden Sie unter http://go.microsoft.com/fwlink/?LinkId=35413 (engl.). Anmerkung Die Berechtigung Authentifizierung zulassen kann für Computerobjekte von Servern unter Windows NT Server 4.0, Windows 2000 Server und Windows Server 2003 verwendet werden. Anmerkung Standardmäßig können nur Mitglieder der Gruppen Kontenoperatoren, Administratoren, Domänen-Admins, Organisations-Admins und SYSTEM die Einstellung bearbeiten. Die folgenden Verfahren müssen von der vertrauenden Domäne aus durchgeführt werden. Administrative Berechtigungen Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Gruppe Domänen-Admins oder der Gruppe Organisations-Admins sein. Zuweisen der Berechtigung Authentifizierung zulassen auf Computern in der vertrauenden Domäne oder GesamtstrukturMithilfe der Windows-Oberfläche
Anhang: Der Neue Vertrauensstellung-AssistentDieses Kapitel beschäftigt sich mit den zwei komplexesten Seiten im Neue Vertrauensstellung-Assisten:
Richtung der VertrauensstellungAuf dieser Seite konfiguriert der Administrator, ob Authentifizierungsanfragen von dieser Domäne zu einer anderen Domäne oder von einer anderen Domäne zu dieser Domäne oder frei zwischen beiden Domänen geroutet werden sollen. Die folgenden Optionen stehen zur Verfügung:
BidirektionalMit dieser Option können alle Benutzer Ressourcen in zwei Domänen oder Gesamtstrukturen gemeinsam nutzen. Anmerkung In der Dokumentation zur Domänen- und Gesamtstrukturvertrauensstellungen werden seit langem die Begriffe "Vertraut" und "Vertrauend" verwendet. Sie helfen dem Administrator dabei, die Richtung einer Vertrauensstellung festzulegen. Diese Terminologie wird zwar weiterhin zur Definition und Betrachtung von Vertrauensstellungen genutzt, sie weicht jedoch von der im Assistenten verwendeten Terminologie ab. Unidirektional: eingehendMit dieser Option lassen Sie Authentifizierungsanfragen von Ihrer Domäne oder Gesamtstruktur für Ressourcen in einer anderen Domäne oder Gesamtstruktur zu. "Unidirektional" bedeutet hierbei, dass mit dieser Auswahl eine neue unidirektionale Vertrauensstellung erstellt wird, die Authentifizierungsanfragen nur in eine Richtung routet (der Zugriff der Benutzer auf die Ressourcen findet in der entgegen gesetzten Richtung statt). "Eingehend" bezeichnet die Richtung der Vertrauensstellung selbst - nicht die Richtung der Authentifizierungsanfragen. Mit anderen Worten: Eine unidirektionale, eingehende Vertrauensstellung bedeutet, dass Ihre Domäne oder Gesamtstruktur die Domäne oder Gesamtstruktur ist, die Zugriff auf Ressourcen aus der anderen Domäne empfängt.  Unidirektional: ausgehendMit dieser Option lassen Sie Authentifizierungsanfragen der Benutzer einer anderen Domäne oder Gesamtstruktur für Ressourcen in Ihrer Domäne oder Gesamtstruktur zu. "Unidirektional: ausgehend" bedeutet hierbei, dass mit dieser Auswahl eine neue unidirektionale Vertrauensstellung erstellt wird, die Authentifizierungsanfragen nur in eine Richtung routet (der Zugriff der Benutzer auf die Ressourcen findet in der entgegen gesetzten Richtung statt). "Ausgehend" bezeichnet die Richtung der Vertrauensstellung selbst - nicht die Richtung der Authentifizierungsanfragen. Mit anderen Worten: Eine unidirektionale, ausgehende Vertrauensstellung bedeutet, dass Ihre Domäne oder Gesamtstruktur die Domäne oder Gesamtstruktur ist, die Benutzern aus einer anderen Domäne oder Gesamtstruktur Zugriff auf Ressourcen der eigenen Domäne oder Gesamtstruktur gewährt.  Seiten der VertrauensstellungUnter Windows NT 4.0 und Windows 2000 gab es über die Windows-Oberfläche nur die Möglichkeit, pro Schritt jeweils eine Seite einer neuen Vertrauensstellung einzurichten. Unter Windows Server 2003 haben Sie nun auch die Möglichkeit, beide Seiten simultan einzurichten. Nur diese DomäneMit dieser Option müssen Sie beide Seiten separat erstellen. Das heißt, sie müssen den Assistenten zweimal ausführen - einmal in jeder Domäne, die Teil der Vertrauensstellung ist. In diesem Fall müssen Sie auf beiden Seiten das gleiche Vertrauensstellungskennwort angeben. Diese Domäne und die angegebene DomäneBei dieser Option muss der Administrator entsprechende administrative Anmeldeinformationen für beide Domänen der Vertrauensbeziehung angeben. Sie erstellt in einem Schritt beide Seiten der Vertrauensstellung. Das Kennwort wird automatisch erstellt.
|
In diesem Beitrag
|
