Trusts: Typen und Richtungen

Ein Trust ist eine Vertrauensbeziehung zwischen zwei Domains: Domain A vertraut Domain B bedeutet, dass Benutzer aus Domain B Zugriff auf Ressourcen in Domain A erhalten können (sofern die Berechtigungen stimmen). Ohne Trust sind zwei Domains völlig isoliert – Benutzer aus Domain B können sich nicht an Ressourcen in Domain A authentifizieren.

Der Begriff klingt einfach, hat aber mehrere Dimensionen: In welche Richtung gilt das Vertrauen? Ist der Trust transitiv (wirkt er durch mehrere Ebenen hindurch)? Wurde er automatisch erstellt oder muss er manuell konfiguriert werden? Diese drei Fragen definieren jeden Trust vollständig.

1) Richtungen: Einbahn oder beidseitig?

Trusts haben eine Richtung. Ein einseitiger Trust (One-Way) bedeutet: Domain A vertraut Domain B – Benutzer aus B können auf A zugreifen, aber nicht umgekehrt. Ein beidseitiger Trust (Two-Way / Bidirectional) bedeutet: beide Domains vertrauen einander gegenseitig. Innerhalb eines AD-Trees und Forests sind alle automatisch erstellten Trusts bidirektional.

Merkhilfe: Der Pfeil zeigt immer in Richtung der vertrauenden Domain, also wohin der Zugriff geht. Wenn A → B, dann vertraut A der Domain B – Benutzer aus B dürfen auf A-Ressourcen. Verwirrt? Denk ans Einwohnermeldeamt: Wenn das Münchener Amt dem Berliner Amt vertraut, akzeptiert München die Berliner Ausweise – Berliner können Münchener Dienste nutzen.

2) Trust-Typen im Überblick

Es gibt verschiedene Trust-Typen die je nach Szenario eingesetzt werden. Klicke einen Trust-Typ für Details:

Trust-Typen – anklicken für Details

child.firma.de ↔ automatisch, transitiv firma.de Parent-Child

firma.de ↔ automatisch, transitiv tochter.de Tree-Root

berlin.firma.de ↔ manuell, Abkürzung hamburg.tochter.de Shortcut Trust

firma.de ↔ oder → manuell partner-gmbh.de External Trust

firma.de Forest ↔ manuell, transitiv akquisition.de Forest Forest Trust

← Klicke einen Trust für Details.

Transitivität bedeutet: Wenn A B vertraut und B C vertraut, vertraut A automatisch auch C (über B als Vermittler). Innerhalb des Forests gilt Transitivität automatisch. External Trusts und Realm Trusts sind nicht-transitiv – sie gelten nur zwischen den direkt verbundenen Domains.

3) Trust erstellen und prüfen

Aufgabe	Befehl / Tool
Trusts grafisch verwalten	Active Directory Domains and Trusts (`domain.msc`)
Trust anlegen (PowerShell)	`New-ADTrust -Name "partner-gmbh.de" -TrustType External -Direction Bidirectional -TrustingDomainName "firma.de"`
Trust prüfen (Validierung)	`netdom trust firma.de /domain:partner-gmbh.de /verify`
Trust-Passwort zurücksetzen	`netdom trust firma.de /domain:partner-gmbh.de /reset`
Alle Trusts auflisten	`Get-ADTrust -Filter * \| Select Name,Direction,TrustType`

Zusammenfassung

Trusts verbinden Domains für Cross-Domain-Authentifizierung. Richtungen: One-Way (ein Benutzer darf auf andere Domain) oder Two-Way (gegenseitig). Transitivität: innerhalb Forest automatisch transitiv, External Trusts nicht. Trust-Typen: Parent-Child/Tree-Root (automatisch), Shortcut (Performance), External (anderer Forest/NT4), Forest Trust (vollständige Forest-Verbindung). SID Filtering bei External/Forest Trusts für Sicherheit aktivieren.

Trusts: Typen und Richtungen

1) Richtungen: Einbahn oder beidseitig?

2) Trust-Typen im Überblick

3) Trust erstellen und prüfen

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title