Differences

This shows you the differences between two versions of the page.

--- двухсторонние_отношения_доверия [2025/03/19 13:39] – jp
+++ двухсторонние_отношения_доверия [2025/08/25 10:03] (current) – jp
@@ Line 3: / Line 3: @@
 Двухсторонние транзитивные отношения доверия можно создать следующим образом.
-. В первую очередь необходимо убедиться, что DNS имя домена, с которым мы хотим создать доверительные отношения - разрешается нормально. Для этого нам необходимо на контроллере домена, где мы настраиваем доверие - создать условную пересылку зоны домена, с которым строим отношения доверия.
+. В первую очередь необходимо убедиться, что DNS имя домена, с которым мы хотим создать доверительные отношения - разрешается нормально. Для этого нам необходимо на контроллере домена, где мы настраиваем доверие - создать условную пересылку зоны домена, с которым строим отношения доверия на DNS-сервер\контроллер данного домена.
 Пример: на контроллере домена //arasaka.local// создаем conditional forwarder на КД домена //arasakanext.local//.
@@ Line 52: / Line 52: @@
 ;#;
-. Теперь выбираем настриваемую сторону доверия для данных настроек. Если у нас есть учётные данные во втором домене - то можно выбрать опцию //Both this domain and specified domain//, чтобы не повторять настройку и во втором домене.
+. Теперь выбираем настриваемую сторону доверия для данных настроек. Если у нас есть учётные данные во втором домене - то можно выбрать опцию //Both this domain and specified domain//, чтобы не повторять настройку и во втором домене. Выберем именно эту опцию сейчас.
+:!: Если у нас нет данных - придется сгенерировать специальный пароль для создания доверия и поделиться им с администратором другого домена. Этот пароль будет запрошен только, если мы не выбираем опцию //Both this domain and specified domain// - в ней будут запрошены учётные данные явно.
+;#;
+{{:wiki:side_of_trust_arasaka.jpg?600|}}
+;#;
+. На данном этапе, если мы хотим, чтобы пользователи домена могли аутентифицироваться на любых ресурсах нашего домена и наоборот - выберем опцию //Domain-wide authentication//.
+;#;
+{{:wiki:arasaka_domain_wide_auth.jpg?600|}}
+;#;
+. Вводим учётные данные из второго домена в обычном формате //domain\administrator//.
+. После создания отношений - можем открыть консоль //domains and trusts// на контроллерах домена обоих доменов и убедиться, что всё ОК.
+;#;
+{{:wiki:trustdomains_result_arasaka.jpg?600|}}
+;#;
+----
+==== Проверка отношений доверия ====
+Мы можем проверить созданные отношения доверия следующим образом:
+Можно при помощи учётной записи доверяемого домена подключиться к RDP. Для работы RDP после создания отношений доверия недостаточно добавить группу домена, которому мы доверяем в //RDP users//. Необходимо также добавить администраторов домена, к которому есть доверие в группу //Administrators//.
+:!: Необходимо добавлять именно в группу //Administrators//, а не //Domain Admins//, поскольку в группу //Domain Admins// пользователей удаленного домена добавить не получится - там нельзя будет выбрать доверяемый домен.
+;#;
+{{:ad:ad_trust_rdp_perm.jpg|}}
+;#;
+{{tag>ActiveDirectory Microsoft DNS}}