Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit dem netdom trust Befehl können Administratoren Vertrauensstellungen zwischen Domänen verwalten, einrichten, überprüfen oder zurücksetzen. Es ist verfügbar, wenn die Active Directory Domain Services (AD DS)-Serverrolle installiert ist. Es ist auch verfügbar, wenn Sie die AD DS-Tools installieren, die Teil der Remoteserver-Verwaltungstools (REMOTE Server Administration Tools, RSAT) sind. Weitere Informationen finden Sie unter Verwalten von Microsoft Windows-Client- und Servercomputern lokal und remote.
Um dies zu verwenden netdom trust, müssen Sie den Befehl über eine Eingabeaufforderung mit erhöhten Rechten ausführen.
Note
Der netdom trust Befehl kann nicht verwendet werden, um eine Gesamtstrukturvertrauensstellung zwischen zwei AD DS-Gesamtstrukturen zu erstellen. Um eine gesamtstrukturübergreifende Vertrauensstellung zwischen zwei AD DS-Gesamtstrukturen zu erstellen, verwenden Sie das Active Directory-Snap-In "Domänen und Vertrauensstellungen ", um Gesamtstrukturvertrauensstellungen zu erstellen und zu verwalten. Skriptlösung wie die Verwendung von PowerShell ist auch eine Option zum Verwalten dieser Vertrauenstypen, wenn Sie den Prozess automatisieren müssen.
Syntax
netdom trust trusting_domain_name /Domain:trusted_domain_name [/UserD:user]
[/PasswordD:[password | *]] [/UserO:user] [/PasswordO:[password | *]]
[/Verify] [/Reset] [/PasswordT:new_realm_trust_password]
[/Add] [/Remove] [/Twoway] [/Realm] [/Kerberos]
[/Transitive[:{yes | no}]]
[/OneSide:{trusted | trusting}] [/Force] [/Quarantine[:{yes | no}]]
[/NameSuffixes:trust_name [/ToggleSuffix:#]]
[/EnableSIDHistory[:{yes | no}]] [/ForestTransitive[:{yes | no}]]
[/CrossOrganization[:{yes | no}]] [/AddTLN:TopLevelName]
[/AddTLNEX:TopLevelNameExclusion] [/RemoveTLN:TopLevelName]
[/RemoveTLNEX:TopLevelNameExclusion] [/SecurePasswordPrompt]
[/EnableTgtDelegation[:{yes | no}]] [/EnablePIMTrust[:{yes | no}]]
[/AuthTargetValidation[:{yes | no}]] [/ChildDomain:childdomainname]
[/InvokeTrustScanner]
Parameters
| Parameter | Description |
|---|---|
<TrustingDomainName> |
Gibt den Namen der vertrauenswürdigen Domäne an. |
/domain:<TrustedDomainName> |
Gibt den Namen der vertrauenswürdigen Domäne oder des Nicht-Windows-Bereichs an. Wenn nicht angegeben, wird die aktuelle Domäne, zu der der aktuelle Computer gehört, verwendet. |
/userd:<User> |
Gibt das Benutzerkonto an, das für die Verbindung mit der mit dem /domain Parameter angegebenen Domäne verwendet werden soll. Wenn nicht angegeben, wird standardmäßig das aktuelle Benutzerkonto verwendet. |
/passwordd:<Password> | * |
Gibt das Kennwort für das Benutzerkonto an, das mit /userd. Wird verwendet * , um zur Eingabe des Kennworts aufzufordern. |
/usero:<User> |
Gibt das Benutzerkonto an, das für die Verbindung mit der vertrauenswürdigen Domäne verwendet werden soll. Wenn nicht angegeben, wird standardmäßig das aktuelle Benutzerkonto verwendet. |
/passwordo:<Password> | * |
Gibt das Kennwort für das Benutzerkonto an, das mit /usero. Wird verwendet * , um zur Eingabe des Kennworts aufzufordern. |
/verify |
Überprüft die geheimen Schlüssel des sicheren Kanals für eine bestimmte Vertrauensstellung. |
/reset |
Setzt den Vertrauensschlüssel zwischen vertrauenswürdigen Domänen oder zwischen dem Domänencontroller (DC) und der Arbeitsstation zurück. |
/passwordt:<NewRealmTrustPassword> |
Legt ein neues Vertrauenskennwort fest. Diese Option ist nur für die /add Parameter gültig /reset , und nur, wenn eine der angegebenen Domänen ein Nicht-Windows-Kerberos-Bereich ist. Das Vertrauenskennwort ist nur für die Windows-Domäne konfiguriert, daher sind keine Anmeldeinformationen für die Nicht-Windows-Domäne erforderlich. |
/add |
Erstellt eine Vertrauensstellung. |
/remove |
Entfernt eine Vertrauensstellung. |
/twoway |
Richtet eine bidirektionale Vertrauensstellung ein. |
/realm |
Erstellt die Vertrauensstellung für einen Nicht-Windows-Kerberos-Bereich. Nur mit dem /add Parameter gültig. Der /passwordt-Parameter ist erforderlich. |
/kerberos |
Verwendet das Kerberos-Protokoll, um die Authentifizierung zwischen einer Arbeitsstation und der angegebenen Domäne zu überprüfen. Erfordert Anmeldeinformationen für die Quell- und Zieldomänen. |
/transitive:Yes | No |
Gilt nur für Nicht-Windows-Kerberos-Bereichsvertrauensstellungen. Wird verwendet yes , um das Vertrauen transitiv zu machen oder no es nicht transitiv zu machen. Wenn nicht angegeben, wird die aktuelle Transitivitätseinstellung angezeigt. |
/oneside:trusted | trusting |
Gibt an, dass der Vertrauensvorgang nur auf einer Seite der Vertrauensstellung ausgeführt werden soll. Wird verwendet trusted , um den Vorgang auf die domäne anzuwenden, die mit dem /domain Parameter (der "vertrauenswürdigen" Domäne) angegeben wurde, oder verwenden trusting Sie ihn, um ihn auf die Domäne "vertrauenswürdig" anzuwenden. Diese Option ist nur für die /add parameter gültig /remove . Bei Verwendung mit /adddem Parameter ist auch der /passwordt Parameter erforderlich. - Vertrauenswürdige Domäne: Dies ist die Domäne, die vertrauenswürdig ist. In einer Vertrauensstellung ermöglicht die vertrauenswürdige Domäne Benutzern aus der vertrauenswürdigen Domäne den Zugriff auf ihre Ressourcen. Die Benutzer der vertrauenswürdigen Domäne erhalten bestimmte Berechtigungen oder Den Zugriff innerhalb der vertrauenswürdigen Domäne. - Vertrauenswürdige Domäne: Dies ist die Domäne, die einer anderen Domäne (der vertrauenswürdigen Domäne) vertraut. Dies bedeutet im Wesentlichen, dass die vertrauenswürdige Domäne ihre Vertrauensstellung auf die Benutzer der vertrauenswürdigen Domäne erweitert, sodass sie auf Ressourcen innerhalb der vertrauenswürdigen Domäne zugreifen können. |
/force |
Entfernt sowohl das vertrauenswürdige Domänenobjekt als auch das Querverweisobjekt aus der Gesamtstruktur. Der vollständige DNS-Name muss für die Domäne angegeben werden. Gültig mit dem /remove Parameter und wenn angegeben, wird eine untergeordnete Domäne entfernt. |
/quarantine:Yes | No |
Legt das Domänenquarantäne-Attribut fest oder löscht es. Wenn nicht angegeben, wird der aktuelle Zustand angezeigt.
Yes akzeptiert nur SIDs aus der direkt vertrauenswürdigen Domäne.
No akzeptiert eine beliebige SID (Standardeinstellung). Wenn Sie /quarantine ohne Option angeben, wird der aktuelle Zustand angezeigt. |
/namesuffixes:<TrustName> |
Listet die Routingnamensuffixe für die angegebene Vertrauensstellung auf. Dieser Parameter ist nur für eine Gesamtstrukturvertrauensstellung oder eine transitive Nicht-Windows-Bereichsvertrauensstruktur gültig. Verwenden Sie /usero bei Bedarf die Authentifizierung und /passwordo für die Authentifizierung. Der /domain Parameter ist für diesen Vorgang nicht erforderlich. |
/togglesuffix:# |
Verwenden Sie diesen Parameter, /namesuffixes um ein bestimmtes Namenssuffix zu aktivieren oder zu deaktivieren. Geben Sie die Nummer des Namenseintrags an, wie in der Ausgabe des vorherigen /namesuffixes Befehls dargestellt. Sie können den Status von Namen, die in Konflikt stehen, erst ändern, wenn der konfliktierende Name in der anderen Vertrauensstellung deaktiviert ist. Führen Sie /namesuffixes immer unmittelbar vor, /togglesuffix da sich die Reihenfolge der Namenseinträge ändern kann. |
/enablesidhistory:Yes | No |
Aktiviert () oder deaktiviert (YesNo) migrierte Benutzer in der vertrauenswürdigen Gesamtstruktur, um den SID-Verlauf für den Zugriff auf Ressourcen zu verwenden. Gilt nur für ausgehende Gesamtstrukturvertrauensstellungen. Aktivieren Sie nur, wenn Sie den Administratoren der vertrauenswürdigen Gesamtstruktur vertrauen. Wenn keine Option angegeben ist, wird der aktuelle Zustand angezeigt. |
/foresttransitive:Yes | No |
Kennzeichnet die Vertrauensstellung als transitive Gesamtstruktur (ja) oder nicht (nein). Gilt nur für AD-Vertrauensstellungen und Nicht-Windows-Bereichsvertrauensstellungen nur für die Stammdomäne für eine Gesamtstruktur. Wenn nicht angegeben, wird der aktuelle Zustand angezeigt. |
/selectiveauth:Yes | No |
Aktiviert (Yes) oder deaktiviert dieNo selektive Authentifizierung für die gesamte Vertrauensstellung. Nur für ausgehende Gesamtstruktur und externe Vertrauensstellungen gültig. Wenn nicht angegeben, wird der aktuelle Zustand angezeigt. |
/addtln:<TopLevelName> |
Fügt das angegebene DNS-Namenssuffix der obersten Ebene zu den Vertrauensinformationen für die Gesamtstruktur für die Vertrauensstellung hinzu. Gilt nur für eine transitive Nicht-Windows-Bereichsvertrauensstellung für eine Gesamtstruktur und nur für die Stammdomäne für eine Gesamtstruktur. Führen Sie die Ausführung /namesuffixes für eine Liste von Namenssuffixen aus. |
/addtlnex:<TopLevelNameExclusion> |
Fügt den angegebenen Namensausschluss der obersten Ebene (DNS-Namenssuffix) zu den Vertrauensinformationen für die Gesamtstruktur für die Vertrauensstellung hinzu. Gilt nur für eine transitive Nicht-Windows-Bereichsvertrauensstellung für eine Gesamtstruktur und nur für die Stammdomäne für eine Gesamtstruktur. Führen Sie die Ausführung /namesuffixes für eine Liste von Namenssuffixen aus. |
/removetln:<TopLevelName> |
Entfernt das angegebene DNS-Namenssuffix der obersten Ebene aus den Vertrauensinformationen der Gesamtstruktur für die Vertrauensstellung. Gilt nur für eine transitive Nicht-Windows-Bereichsvertrauensstellung für eine Gesamtstruktur und nur für die Stammdomäne für eine Gesamtstruktur. Führen Sie die Ausführung /namesuffixes für eine Liste von Namenssuffixen aus. |
/removetlnex:<TopLevelNameExclusion> |
Entfernt den angegebenen Namensausschluss der obersten Ebene (DNS-Namenssuffix) aus den Vertrauensinformationen für die Gesamtstruktur für die Vertrauensstellung. Gilt nur für eine transitive Nicht-Windows-Bereichsvertrauensstellung für eine Gesamtstruktur und nur für die Stammdomäne für eine Gesamtstruktur. Führen Sie die Ausführung /namesuffixes für eine Liste von Namenssuffixen aus. |
/securepasswordprompt |
Öffnet ein Popup für sichere Anmeldeinformationen zum Eingeben von Anmeldeinformationen. Dies ist hilfreich beim Angeben von Smartcard-Anmeldeinformationen. Diese Option ist nur wirksam, wenn das Kennwort als eingegeben *wird. |
/enabletgtdelegation:Yes | No |
Aktiviert (Yes) oder deaktiviert dieNo vollständige Kerberos-Delegierung für ausgehende Gesamtstrukturvertrauensstellungen. Bei Festlegung auf No" wird die vollständige Kerberos-Delegierung blockiert und verhindert, dass Dienste in der anderen Gesamtstruktur weitergeleitete Ticketgewährungstickets (TGTs) erhalten. Das Deaktivieren dieser Option bedeutet, dass Dienste in der anderen Gesamtstruktur, die für "Diesem Computer/Benutzer für die Delegierung an einen beliebigen Dienst vertrauen" konfiguriert ist, die vollständige Kerberos-Delegierung mit keinem Konto in dieser Gesamtstruktur verwenden können. |
/enablepimtrust:Yes | No |
Aktiviert (Yes) oder deaktiviertNo () Privileged Identity Management (PIM)-Vertrauensverhalten für diese Vertrauensstellung. Die Vertrauensstellung muss vor dem Aktivieren dieses Attributs als Gesamtstrukturtransitiv gekennzeichnet werden. Wenn /enablepimtrust ohne Yes oder No, wird der aktuelle Status dieses Attributs angezeigt. |
/authtargetvalidation:Yes | No |
Aktiviert (Yes) oder deaktiviert (No) die Authentifizierungszielüberprüfung für Authentifizierungsanforderungen für die angegebene Vertrauensstellung. Bei Gesamtstrukturvertrauensstellungen können Sie diese Einstellung mithilfe des /childdomain Parameters auf eine bestimmte untergeordnete Domäne beschränken. Das Deaktivieren dieser Überprüfung kann Ihre Umgebung Sicherheitsrisiken aus der Remotegesamtstruktur aussetzen und sollte nur bei Bedarf erfolgen. |
/childdomain:<ChildDomainName> |
Wird verwendet, um eine untergeordnete Domäne innerhalb einer größeren Domänenstruktur als Ziel zu verwenden, wenn vertrauenswürdige Vorgänge ausgeführt werden, um sicherzustellen, dass der Vertrauensvorgang direkt auf die untergeordnete Domäne angewendet wird. Dieser Parameter ist in Szenarien nützlich, in denen präzise Kontrolle über Vertrauensbeziehungen in komplexen Domänenumgebungen erforderlich ist. |
/invoketrustscanner |
Initiiert eine Vertrauensüberprüfung für die angegebene vertrauenswürdige Domäne. Wenn die vertrauenswürdige Domäne auf *"vertrauenswürdig" festgelegt ist, werden alle Vertrauensstellungen überprüft. Dieser Befehl muss lokal auf dem primären DC ausgeführt werden. Der Vertrauensscanner wird in der Regel automatisch ausgeführt. Verwenden Sie diesen Befehl nur für Problembehandlungs- oder Supportzwecke. |
help | /? |
Zeigt die Hilfe an der Eingabeaufforderung an. |
Examples
Führen Sie den folgenden Befehl aus, um die Domäne USA-Chicago so festzulegen, dass sie der Domäne Nordamerika vertraut:
netdom trust USA-Chicago /domain:NorthAmerica /add /userd:NorthAmerica\admin /passwordd:* /usero:USA-Chicago\admin /passwordo:*
Führen Sie den folgenden Befehl aus, um eine bidirektionale Vertrauensstellung zwischen der engineering.contoso.com-Domäne und der marketing.contoso.com Domäne einzurichten:
netdom trust engineering.contoso.com /domain:marketing.contoso.com /add /twoway /usero:admin@engineering.contoso.com /passwordo:* /userd:admin@marketing.contoso.com /passwordd:*
Führen Sie den folgenden Befehl aus, um eine unidirektionale Vertrauensstellung einzurichten, bei der die Domäne "Nordamerika" dem Nicht-Windows-Kerberos-Bereich ATHENA vertraut:
netdom trust NorthAmerica /domain:ATHENA /add /passwordt:* /realm
Note
Für die Überprüfung einer bestimmten Vertrauensstellung sind Anmeldeinformationen erforderlich, es sei denn, der Benutzer verfügt über Domänenadministratorberechtigungen für beide Domänen.
Wenn Sie den Kerberos-Bereich ATHENA so festlegen möchten, dass er der Domäne "Nordamerika" vertraut, führen Sie den folgenden Befehl aus:
netdom trust NorthAmerica /domain:ATHENA /add /realm
Führen Sie den folgenden Befehl aus, um die Vertrauensstellung zwischen USA-Chicago und Nordamerika rückgängig zu machen (zu entfernen):
netdom trust USA-Chicago /domain:NorthAmerica /remove
Führen Sie den folgenden Befehl aus, um den sicheren Kanal für die unidirektionale Vertrauensstellung zwischen Nordamerika und USA-Chicago zurückzusetzen:
netdom trust USA-Chicago /domain:NorthAmerica /userd:NorthAmerica\admin /passwordd:* /reset
Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die Vertrauensstellung zwischen der Domäne "MyDomain" und der Domäne "devgroup.example.com " die Kerberos-Authentifizierung unterstützt:
netdom trust MyDomain /domain:devgroup.example.com /verify /kerberos /userd:devgroup\admin /passwordd:* /usero:MyDomain\admin /passwordo:*
Note
Sie können diesen Vertrauensvorgang nicht von einem Remotestandort aus ausführen. Sie müssen den Vorgang auf der Arbeitsstation ausführen, die Sie testen möchten.
Führen Sie den folgenden Befehl aus, um das erste Routingnamensuffix in der Liste zu aktivieren oder zu deaktivieren, die vom vorherigen Befehl generiert wurde:
netdom trust myTestDomain /domain:foresttrustpartnerdomain /namesuffixes /togglesuffix:1
Sie können nur ein DNS-Namenssuffix für eine Vertrauensstellung hinzufügen, bei der es sich um eine transitive Nicht-Windows-Bereichsvertrauensstellung handelt. Die gleiche Einschränkung gilt für die Parameter zum Verwalten des Namenssuffixroutings innerhalb einer Gesamtstrukturvertrauensstellung:
/addtln/addtlnex/removetln/removetlnex