Primäre und vertrauenswürdige Domänen
Die folgenden Begriffe beschreiben Domänen, die auf Remotesystemen vorhanden sind.
- Primary Domain (Primäre Domäne)
- Vertrauenswürdige Domäne
Primäre Domäne
Eine primäre Domäne ist die Domäne, die für das Einrichten weiterer Vertrauensbeziehungen und die Authentifizierung verantwortlich ist (oder für die Übergabe einer Authentifizierungsanforderung an eine entsprechende vertrauenswürdige Domäne). Die Domänencontroller in der primären Domäne verarbeiten oder übergeben Authentifizierungsanforderungen, die von der Arbeitsstation stammen.
Wenn die Anmeldung erfolgt, überprüft die LSA die integrierten Domänen und die Kontodomäne auf Authentifizierungsinformationen. Wenn sich das Konto, bei dem angemeldet wird, nicht in einer dieser Domänen befindet, wird die Anmeldeanforderung an die primäre Domäne des Systems übergeben.
Vertrauenswürdige Domäne
Eine vertrauenswürdige Domäne ist eine Domäne, der das lokale System zur Authentifizierung von Benutzern vertraut. Anders ausgedrückt: Wenn ein Benutzer oder eine Anwendung von einer vertrauenswürdigen Domäne authentifiziert wird, wird diese Authentifizierung von allen Domänen akzeptiert, die der authentifizierenden Domäne vertrauen.
Jede untergeordnete Domäne verfügt automatisch über eine bidirektionale Vertrauensstellung mit der Standard Domäne. Standardmäßig ist diese Vertrauensstellung transitiv, d. h., wenn ein System Domäne A vertraut, vertraut es auch allen Domänen, denen Domäne A vertraut. Unidirektionale Vertrauensstellungen werden auch für Betriebssysteme vor Windows 2000 unterstützt, die keine transitiven bidirektionalen Vertrauensstellungen unterstützen.
Die lokale Sicherheitsautorität (LSA) verfügt über den Objekttyp TrustedDomain, der verwendet wird, um Informationen zu Vertrauensbeziehungen zu speichern, einschließlich des Namens und der Sicherheits-ID (SID) der vertrauenswürdigen Domäne, des Kontos in der Domäne, das für Authentifizierungsanforderungen verwendet werden soll, namen- und SID-Übersetzungsanforderungen sowie die Namen von Domänencontrollern in der vertrauenswürdigen Domäne.
Auf Domänencontrollern erstellt der LSA eine instance eines TrustedDomain-Objekts für jede Domäne, die vom lokalen System als vertrauenswürdig eingestuft wird.
Wenn beispielsweise eine Windows XP-Arbeitsstation einem Windows 2000-Domänencontroller vertraut, der wiederum vier anderen Systemen vertraut, verfügt die arbeitsstation, die über transitive Vertrauensstellung verbunden ist, über fünf TrustedDomain-Objekte auf ihrem lokalen System.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für