AD DS a vztahy důvěry (AD DS Trusts)

Vztahy důvěry (AD DS Trusts) nám umožňují vzájemou důvěru (ověření) domén/lesů v AD světě. Uživatelé tak mohou být ověření ve své vlastní doméně a jejich (ticket zabezpečení) credentials bude použit pro přístup na sdílené zdroje v cizí doméně.

Všechny AD vztahy důvěry (trasty) mají následující charakteristiky

• Transitive - Trasty mohou být transitivní nebo netransitivní. Transitivní trast je vždy propagován na všechny domény stejného stromu. Transitivní trast je například ten, který je tvořen automaticky při přidávání dalších domén stávajícího stromu, takže je zajištěno, že všechny domény vašeho stromu si vzájemně věří a je možné obousměrně přistupovat na sdílené zdroje.
   
• Trust direction -Trust direction definuje, kde jsou uloženy uživatelské účty a sdílené zdroje v důvěryhodné a důvěřujcí doméně (trusted domain and trusting domain). Ve Windows Server 2008 jsou tři trust direction: one-way incoming, one-way outgoing a two-way trust. Tedy je možné definovat, že trast je pouze jednosměrný, a to buď z jedné domény, nebo z druhé, nebo je obousměrný.
   
• Authentication protocol - Trasty mohou pro navázání vztahu důvěry použít odlišné protokoly, a to buď Kerberos verze 5, nebo Windows NT Local Area Network (LAN) Manager (NTML). Ve většině případů Windows Server 2008 použije automaticky protokol Kerberos pro navázání trastu , a to hlavně z důvodu většího zabezpečení garantovaným tímto protokolem.

Windows Server 2008 podporujety tyto trasty (Trust Options)

Jak funguje trast uvnitř lesa.

Při zakládání trastů mezi doménami či lesy ve stejné struktuře jsou informace o těchto trastech uloženy v AD, takže je můžeme pomocí global katalogu získat. Kdykoliv tedy vytvoříte nový trast, je vytvořen i nový TDO (Trast domain Object), který obsahuje informace, kde se důvěryhodná doména nachází, jaké sdílené služby nabízí apod. Pokud tedy uživatel z domény 1 potřebuje přístup na sdílené prostředky z domény 2, kontaktuje nejprve svůj DC, který pomocí globálního katalogu zjistí, kde se požadovaná doména nachází a na základě nastavených trastů pomocí protokolu Kerberos kontaktuje nadřazenou doménu A . Ta předá požadavek na doménu 1, ta na doménu 2, ta po ověření vystaví požadovaný ticket pro přístup na sdílené složky, který se stejnou cestou vrátí až k uživateli, který pak přímou cestou přistoupí na Doménu 2, kde se ověří již vystaveným ticketem.

Jak funguje trast mezi lesy.

Trasty mezi cizími lesy fungují odlišně od trastů v úrovní stejného lesa. Pokud tedy uživatel z domény EMEA.WoodgroveBank.com požaduje sdílené služby z domény NA.Contonso.com, kontaktuje nejprve svůj doménový řadič v EMEA.WoodgroveBank.com s požadavkem na vystavení ticketu pro služby NA.Contonso.com. Doménový řadič  kontaktuje vlastní globální katalog s požadavkem, kde se nachází doména NA.Contonso.com.  Jelikož však globální katalog udržuje pouze informace o doménách ve stejném lese, nemůže požadovanou doménu najít. Pokusí se tedy podívat do databáze AD, zda neexistuje nějaký trast s požadovanou doménou. Po nalezení trastu je informace odeslána na počítač uživatele. Ten poté kontaktuje přímo root doménu contonso.com na základě trastu, která se podívá do vlastního globálního katalogu, aby nalezla umístění požadovaných zdrojů a zažádala o vystavení ticketu pro požadovaný počítač z domény EMEA.WoodgroveBank.com. Po vystavení ticketu je požadavek odeslán s ticketem zpět do počítače s informacemi, kde kontaktovat sdílené služby. Počítač poté přímo kontaktuje doménu NA.Contonso.com, kde se ověří vystaveným ticketem a může přistoupit na sdílené služby.