Freigeben über


Primäre und vertrauenswürdige Domänen

Die folgenden Begriffe beschreiben Domänen, die auf Remotesystemen vorhanden sind.

Primäre Domäne

Eine primäre Domäne ist die Domäne, die für die Einrichtung weiterer Vertrauensbeziehungen und die Durchführung der Authentifizierung verantwortlich ist (oder um eine Authentifizierungsanforderung an eine entsprechende vertrauenswürdige Domäne zu übergeben). Die Domänencontroller in der primären Domäne behandeln oder übergeben Authentifizierungsanforderungen, die an der Arbeitsstation stammen.

Wenn die Anmeldung auftritt, überprüft die LSA die integrierten Domänen und Kontodomänen auf Authentifizierungsinformationen. Wenn sich das angemeldete Konto nicht in einer dieser Domänen befindet, wird die Anmeldeanforderung an die primäre Domäne des Systems übergeben.

Vertrauenswürdige Domäne

Eine vertrauenswürdige Domäne ist eine Domäne, der das lokale System der Authentifizierung von Benutzern vertraut. Anders ausgedrückt: Wenn ein Benutzer oder eine Anwendung von einer vertrauenswürdigen Domäne authentifiziert wird, wird diese Authentifizierung von allen Domänen akzeptiert, die der Authentifizierungsdomäne vertrauen.

Jede untergeordnete Domäne verfügt automatisch über eine bidirektionale Vertrauensstellung mit der Hauptdomäne. Standardmäßig ist diese Vertrauensstellung transitiv, d. h., wenn ein System Der Domäne A vertraut, vertraut es auch allen Domänen, denen Domäne A vertraut. Unidirektionale Vertrauensstellungen werden auch für Betriebssysteme unterstützt, die älter als Windows 2000 sind und keine transitiven, bidirektionale Vertrauensstellungen unterstützen.

Die lokalen Sicherheitszertifizierungsstelle (LSA) verfügt über einen Objekttyp, TrustedDomain, der zum Speichern von Informationen zu Vertrauensbeziehungen verwendet wird, einschließlich des Namens und Sicherheitsbezeichners (SID) der vertrauenswürdigen Domäne, des Kontos in der Domäne, das für Authentifizierungsanforderungen, Name und SID-Übersetzungsanforderungen verwendet werden soll, und die Namen von Domänencontrollern in der vertrauenswürdigen Domäne.

Auf Domänencontrollern erstellt die LSA eine Instanz eines TrustedDomain -Objekts für jede Domäne, die vom lokalen System als vertrauenswürdig eingestuft wird.

Wenn eine Windows XP-Arbeitsstation beispielsweise einem Windows 2000-Domänencontroller vertraut, der wiederum vier anderen Systemen vertraut, verfügt die Arbeitsstation, die über transitive Vertrauensstellung verbunden ist, über fünf TrustedDomain- Objekte im lokalen System.