Разрешение прохождения отношений доверия лесов для журнала sid
При переносе пользователей из одного домена в домен из другого леса таким пользователям может требоваться доступ к ресурсам в исходном лесу на основе перенесенных учетных данных (журнал SID). Фильтрация SID по умолчанию, применяемая к отношениям доверия лесов, не позволяет пользовательским запросам доступа к ресурсам проходить отношения доверия с учетными данными исходного домена. Чтобы разрешить пользователям использовать учетные данные, перенесенные из исходного домена, можно разрешить журналу SID прохождение отношений доверия лесов с помощью команды netdom.
Параметры фильтрации SID могут изменять только администраторы доменов или предприятий. Чтобы разрешить учетным данным журнала SID проходить отношение доверия между двумя лесами, введите в командной строке команду с указанным синтаксисом, а затем нажмите клавишу ВВОД:
Netdom trust имя_домена_доверителя /domain: имя_доверенного_домена /enablesidhistory:Yes /usero:учетная_запись_администратора_домена/passwordo:учетная_запись_администратора_домена
Чтобы снова включить данную настройку фильтрации SID по умолчанию между отношениями доверия лесов, задайте параметру командной строки /enablesidhistory: значение No. Дополнительные сведения о команде Netdom см. в разделе "Domain and Forest Trust Tools and Settings".
Примечание |
К разрешению прохождения отношений доверия лесов для журнала SID применяются те же рекомендации по безопасности, что и для удаления карантина фильтрации SID из внешних отношений доверия. |
Когда необходимо создавать сокращенное доверие Когда необходимо создавать сокращенное доверие
Сокращенное доверие является односторонним или двусторонним транзитивным доверием, которое можно использовать, если администраторам требуется оптимизировать процесс проверки подлинности. Запросы на проверку подлинности должны сначала пройти по пути доверительных отношений между деревьями домена. В сложном лесу это может занять значительное время, которое можно сократить за счет использования сокращенных доверий. Путем доверительных отношений является ряд доверительных отношений домена, который должен быть пройден для передачи запросов на проверку подлинности между двумя любыми доменами. Дополнительные сведения о путях доверительных отношений см. в разделе Направление отношения доверия.
Сокращенное доверие необходимо, если множество пользователей домена часто входят в систему в других доменах леса. В приведенном ниже примере (см. рисунок) можно создать сокращенное доверие между доменом Б и доменом Г или доменом А и доменом 1 и т. д.
Сокращенное доверие значительно сокращает путь, проходимый запросом на проверку подлинности между доменами, расположенными в разных деревьях.
Дополнительные сведения о создании сокращенного доверия см. в разделе Создание сокращенного доверия.
Использование одностороннего доверия
Одностороннее сокращенное доверие, установленное между двумя доменами из разных деревьев доменов, может сократить время, требуемое для выполнения запросов на проверку подлинности, но только в одном направлении. Например, если между доменом А и доменом Б установлено одностороннее сокращенное доверие, запросы на проверку подлинности из домена А в домен Б могут использовать новый односторонний путь доверительных отношений. Однако запросы на проверку подлинности из домена Б в домен А все равно будут проходить более длинный путь доверительных отношений.