Транзитивные отношения доверия

В Windows Server 2008 R2 домены AD DS могут соединяться друг с другом за счет при­менения так называемых доверительных отношений или отношений доверия (trust). Эти отношения доверия, по сути, представляют собой такой механизм, который позволяет ре­сурсам в одном домене быть доступными для санкционированных пользователей из друго­го домена. Отношения доверия в AD бывают многих видов, но, как правило, относятся к одной из четырех описываемых далее категорий.

Транзитивными отношениями доверия (transitive trust) называются двусторонние отно­шения, которые устанавливаются автоматически между доменами в одном и том же лесе AD DS. Такие отношения доверия соединяют ресурсы между доменами в AD DS и отличают­ся от явных отношений доверия тем, что перетекают из одного домена в другой. Другими словами, если домен А доверяет домену В, а домен В доверяет домену С, то домен А доверя­ет домену С. Такое перетекание существенно упрощает доверительные отношения между доменами Windows, поскольку устраняет необходимость в создании множества отношений между каждой парой доменов.

Явные отношения доверия

Явными отношениями доверия (explicit trust) называются такие отношения, которые устанавливается между доменами вручную для обеспечения конкретного пути совместной аутентификации между доменами. Доверительные отношения такого типа могут быть как односторонними, так и двусторонними, в зависимости от потребностей конкретной сре­ды. Другими словами, все доверительные отношения в старой среде Windows NT 4.0 могли бы называться явными отношениями доверия, поскольку все они создавались вручную и не допускали перетекания полномочий так, как его допускают транзитивные отношения дове­рия. Применение явных отношений доверия в AD DS позволяет разработчикам иметь боль­шую гибкость и устанавливать доверительные отношения с внешними доменами и домена­ми более низкого уровня. Все доверительные отношения между доменами AD DS и другими доменами в лесе, функциональный уровень которых ниже Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 или Windows Server 2008 R2, являются явными.

Сокращенные отношения доверия

Сокращенными отношениями доверия (shortcut trust) называют явные доверительные отношения, которые образуют более короткий путь между двумя любыми доменами в до­менной структуре.