Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A netdom trust parancs lehetővé teszi a rendszergazdák számára a tartományok közötti megbízhatósági kapcsolatok kezelését, létrehozását, ellenőrzését vagy alaphelyzetbe állítását. Ez akkor érhető el, ha telepítve van az Active Directory Domain Services (AD DS) kiszolgálói szerepkör. Akkor is elérhető, ha telepíti a távoli kiszolgálófelügyeleti eszközök (RSAT) részét képező AD DS-eszközöket. További információ : Microsoft Windows-ügyfél- és kiszolgálószámítógépek helyi és távoli felügyelete.
A használatához netdom trustrendszergazda jogú parancssorból kell futtatnia a parancsot.
Megjegyzés:
A netdom trust parancs nem használható erdőmegbízhatóság létrehozásához két AD DS-erdő között. Ha erdőközi megbízhatóságot szeretne létrehozni két AD DS-erdő között, használja az Active Directory Domains and Trusts beépülő modult az erdőszintű megbízhatósági kapcsolatok létrehozásához és kezeléséhez. A szkriptelési megoldás, például a PowerShell használata is lehetővé teszi az ilyen típusú megbízhatósági kapcsolatok kezelését, ha automatizálnia kell a folyamatot.
Szemantika
netdom trust trusting_domain_name /Domain:trusted_domain_name [/UserD:user]
[/PasswordD:[password | *]] [/UserO:user] [/PasswordO:[password | *]]
[/Verify] [/Reset] [/PasswordT:new_realm_trust_password]
[/Add] [/Remove] [/Twoway] [/Realm] [/Kerberos]
[/Transitive[:{yes | no}]]
[/OneSide:{trusted | trusting}] [/Force] [/Quarantine[:{yes | no}]]
[/NameSuffixes:trust_name [/ToggleSuffix:#]]
[/EnableSIDHistory[:{yes | no}]] [/ForestTransitive[:{yes | no}]]
[/CrossOrganization[:{yes | no}]] [/AddTLN:TopLevelName]
[/AddTLNEX:TopLevelNameExclusion] [/RemoveTLN:TopLevelName]
[/RemoveTLNEX:TopLevelNameExclusion] [/SecurePasswordPrompt]
[/EnableTgtDelegation[:{yes | no}]] [/EnablePIMTrust[:{yes | no}]]
[/AuthTargetValidation[:{yes | no}]] [/ChildDomain:childdomainname]
[/InvokeTrustScanner]
Paraméterek
| Paraméter | Leírás |
|---|---|
<TrustingDomainName> |
Megadja a megbízható tartomány nevét. |
/domain:<TrustedDomainName> |
Megadja a megbízható tartomány vagy a nem Windows tartomány nevét. Ha nincs megadva, a rendszer azt az aktuális tartományt használja, amelyhez az aktuális számítógép tartozik. |
/userd:<User> |
Megadja a paraméterrel /domain megadott tartománnyal való kapcsolathoz használni kívánt felhasználói fiókot. Ha nincs megadva, az aktuális felhasználói fiók alapértelmezett értéke. |
/passwordd:<Password> | * |
Megadja a használt felhasználói fiók /userdjelszavát. A * jelszó megadásának kérése. |
/usero:<User> |
Megadja a megbízható tartománnyal való kapcsolathoz használni kívánt felhasználói fiókot. Ha nincs megadva, az aktuális felhasználói fiók alapértelmezett értéke. |
/passwordo:<Password> | * |
Megadja a használt felhasználói fiók /userojelszavát. A * jelszó megadásának kérése. |
/verify |
Ellenőrzi a biztonságos csatorna titkos kulcsát egy adott megbízhatósági kapcsolathoz. |
/reset |
Visszaállítja a megbízhatósági titkos kulcsot a megbízható tartományok vagy a tartományvezérlő (DC) és a munkaállomás között. |
/passwordt:<NewRealmTrustPassword> |
Új megbízhatósági jelszót állít be. Ez a beállítás csak a paraméterekkel vagy /add paraméterekkel /reset érvényes, és csak akkor, ha a megadott tartományok egyike nem Windows Kerberos-tartomány. A megbízhatósági jelszó csak a Windows-tartományon van konfigurálva, így a nem Windows-tartomány hitelesítő adataira nincs szükség. |
/add |
Létrehoz egy megbízhatósági kapcsolatot. |
/remove |
Eltávolít egy megbízhatósági kapcsolatot. |
/twoway |
Kétirányú megbízhatósági kapcsolatot hoz létre. |
/realm |
Létrehozza a nem Windows Rendszerű Kerberos-tartomány megbízhatóságát. Csak a /add paraméterrel érvényes. A /passwordt paraméter megadása kötelező. |
/kerberos |
A Kerberos protokoll használatával ellenőrzi a munkaállomás és a megadott tartomány közötti hitelesítést. A forrás- és a céltartományhoz is hitelesítő adatokra van szükség. |
/transitive:Yes | No |
Csak a nem Windows Rendszerű Kerberos-tartományok megbízhatóságára vonatkozik. A yes megbízhatóság tranzitívvá tétele vagy no nem tranzitívvá tétele. Ha nincs megadva, az aktuális tranzitivitási beállítást jeleníti meg. |
/oneside:trusted | trusting |
Megadja, hogy a megbízhatósági műveletet a megbízhatósági kapcsolatnak csak egy oldalán kell végrehajtani. A trusted művelet a paraméterrel /domain megadott tartományra (a "megbízható" tartományra) vagy a "megbízható" tartományra való alkalmazásához használható trusting . Ez a beállítás csak a paraméterekkel és /add a /remove paraméterekkel érvényes. Ha a paramétert használja /add, a /passwordt paraméterre is szükség van. - Megbízható tartomány: Ez a megbízható tartomány. Megbízhatósági kapcsolatban a megbízható tartomány lehetővé teszi, hogy a megbízható tartomány felhasználói hozzáférjenek az erőforrásaihoz. A megbízható tartomány felhasználói bizonyos engedélyeket vagy hozzáférést kapnak a megbízható tartományon belül. - Megbízható tartomány: Ez az a tartomány, amely egy másik tartományt (a megbízható tartományt) bíz meg. Ez lényegében azt jelenti, hogy a megbízható tartomány kiterjeszti a megbízhatóságát a megbízható tartomány felhasználóira, lehetővé téve számukra, hogy hozzáférjenek a megbízható tartomány erőforrásaihoz. |
/force |
Eltávolítja a megbízható tartományobjektumot és a kereszthivatkozási objektumot is az erdőből. A teljes DNS-nevet meg kell adni a tartományhoz. Érvényes a /remove paraméterrel, és ha meg van adva, a rendszer eltávolít egy gyermektartományt. |
/quarantine:Yes | No |
Beállítja vagy törli a tartomány karantén attribútumát. Ha nincs megadva, az aktuális állapot jelenik meg.
Yes csak a közvetlenül megbízható tartományból származó SID-ket fogadja el.
No bármely SID-t elfogad (alapértelmezett).
/quarantine Ha beállítás nélkül adja meg a beállítást, az aktuális állapot jelenik meg. |
/namesuffixes:<TrustName> |
A megadott megbízhatósági kapcsolathoz tartozó átirányított név utótagokat sorolja fel. Ez a paraméter csak erdőszintű megbízhatósági vagy erdőtovábbító, nem Windows rendszerű tartomány megbízhatóságára érvényes. Szükség esetén használja /usero és /passwordo használja a hitelesítést. Ehhez /domain a művelethez nincs szükség paraméterre. |
/togglesuffix:# |
Ezzel a paraméterrel /namesuffixes engedélyezheti vagy letilthatja egy adott név utótagját. Adja meg a névbevitel számát az előző /namesuffixes parancs kimenetében látható módon. Az ütköző nevek állapotát csak akkor módosíthatja, ha a másik megbízhatósági kapcsolat ütköző neve le van tiltva. Mindig futtassa /namesuffixes közvetlenül előtte /togglesuffix , mert a névbejegyzések sorrendje változhat. |
/enablesidhistory:Yes | No |
Engedélyezi (Yes) vagy letiltja (No) a megbízható erdőben migrált felhasználókat, hogy a SID-előzményekkel férhessenek hozzá az erőforrásokhoz. Csak kimenő erdőmegbízhatóságok esetén érvényes. Csak akkor engedélyezze, ha megbízik a megbízható erdő rendszergazdáiban. Ha nincs megadva beállítás, az aktuális állapot jelenik meg. |
/foresttransitive:Yes | No |
A megbízhatóságot erdőátjáróként (igen) vagy nem (nem) jelöli meg. Csak az AD-megbízhatóságokra és a nem Windows rendszerű tartományokra érvényes, csak az erdő gyökértartományában. Ha nincs megadva, az aktuális állapot jelenik meg. |
/selectiveauth:Yes | No |
Engedélyezi (Yes) vagy letiltja (No) a szelektív hitelesítést a megbízhatósági kapcsolaton keresztül. Csak kimenő erdőre és külső megbízhatósági kapcsolatokra érvényes. Ha nincs megadva, az aktuális állapot jelenik meg. |
/addtln:<TopLevelName> |
Hozzáadja a megadott legfelső szintű DNS-név utótagot a megbízhatósági erdő megbízhatósági adataihoz. Csak az erdő tranzitív, nem Windows rendszerű tartományának megbízhatóságára érvényes, és csak az erdő gyökértartományára. Futtassa /namesuffixes a név-utótagok listáját. |
/addtlnex:<TopLevelNameExclusion> |
Hozzáadja a megadott legfelső szintű névkivételt (DNS-név utótagot) a megbízhatósági erdő megbízhatósági adataihoz. Csak az erdő tranzitív, nem Windows rendszerű tartományának megbízhatóságára érvényes, és csak az erdő gyökértartományára. Futtassa /namesuffixes a név-utótagok listáját. |
/removetln:<TopLevelName> |
Eltávolítja a megadott legfelső szintű DNS-név utótagot a megbízhatósági erdő megbízhatósági adataiból. Csak az erdő tranzitív, nem Windows rendszerű tartományának megbízhatóságára érvényes, és csak az erdő gyökértartományára. Futtassa /namesuffixes a név-utótagok listáját. |
/removetlnex:<TopLevelNameExclusion> |
Eltávolítja a megadott legfelső szintű névkizárást (DNS-név utótagot) a megbízhatósági erdő megbízhatósági adataiból. Csak az erdő tranzitív, nem Windows rendszerű tartományának megbízhatóságára érvényes, és csak az erdő gyökértartományára. Futtassa /namesuffixes a név-utótagok listáját. |
/securepasswordprompt |
Megnyílik egy biztonságos hitelesítő adatok előugró ablaka a hitelesítő adatok megadásához. Ez a smartcard hitelesítő adatainak megadásakor hasznos. Ez a beállítás csak akkor érvényes, ha a jelszót a következőként *adja meg: . |
/enabletgtdelegation:Yes | No |
Engedélyezi (Yes) vagy letiltja (No) a Kerberos teljes delegálását a kimenő erdőmegbízhatóságokon. Ha be van Noállítva, a Kerberos teljes delegálása le van tiltva, így a másik erdőben lévő szolgáltatások nem kapják meg a továbbított jegykiadó jegyeket (TGT-ket). Ha letiltja ezt a beállítást, az azt jelenti, hogy a másik erdőben a "Megbízható számítógép/felhasználó bármely szolgáltatásba történő delegáláshoz" beállítással konfigurált szolgáltatások nem használhatják a Kerberos teljes delegálását az erdőben található fiókokkal. |
/enablepimtrust:Yes | No |
Engedélyezi (Yes) vagy letiltja a (No) Privileged Identity Management (PIM) megbízhatósági viselkedését ehhez a megbízhatósághoz. Az attribútum engedélyezése előtt a megbízhatóságot erdőátjáróként kell megjelölni. Ha /enablepimtrust az attribútum nélkül vagy Yesnélkül No van megadva, az attribútum aktuális állapota jelenik meg. |
/authtargetvalidation:Yes | No |
Engedélyezi (Yes) vagy letiltja (No) a hitelesítési cél érvényesítését a megadott megbízhatósági kapcsolaton alapuló hitelesítési kérelmek esetében. Erdőmegbízhatóságok esetén ezt a beállítást egy adott gyermektartományra korlátozhatja a /childdomain paraméterrel. Az ellenőrzés letiltása a távoli erdőből származó biztonsági kockázatoknak teheti ki a környezetét, és csak akkor szabad elvégezni, ha szükséges. |
/childdomain:<ChildDomainName> |
A gyermektartomány nagyobb tartománystruktúrán belüli megcélzására használható megbízhatósági műveletek végrehajtásakor annak biztosítása érdekében, hogy a megbízhatósági művelet közvetlenül a gyermektartományra vonatkozhasson. Ez a paraméter olyan esetekben hasznos, amikor a megbízhatósági kapcsolatok pontos szabályozására van szükség összetett tartományi környezetekben. |
/invoketrustscanner |
A megadott megbízhatósági tartomány megbízhatósági vizsgálatát kezdeményezi. Ha a megbízhatósági tartomány értéke be van állítva *, a rendszer minden megbízhatósági kapcsolatot megvizsgál. Ezt a parancsot helyileg kell végrehajtani az elsődleges tartományvezérlőn. A megbízhatósági ellenőrző általában automatikusan fut. Ezt a parancsot csak hibaelhárítási vagy támogatási célokra használhatja. |
help | /? |
Súgó megjelenítése a parancssorban. |
Példák
Az USA-Chicago tartomány NorthAmerica tartomány megbízhatóságának beállításához futtassa a következő parancsot:
netdom trust USA-Chicago /domain:NorthAmerica /add /userd:NorthAmerica\admin /passwordd:* /usero:USA-Chicago\admin /passwordo:*
A engineering.contoso.com tartomány és a marketing.contoso.com tartomány közötti kétirányú megbízhatóság létrehozásához futtassa a következő parancsot:
netdom trust engineering.contoso.com /domain:marketing.contoso.com /add /twoway /usero:admin@engineering.contoso.com /passwordo:* /userd:admin@marketing.contoso.com /passwordd:*
Ha egyirányú megbízhatóságot szeretne létrehozni, amelyben a NorthAmerica tartomány megbízik a nem Windows Kerberos tartomány ATHENA-jában, futtassa a következő parancsot:
netdom trust NorthAmerica /domain:ATHENA /add /passwordt:* /realm
Megjegyzés:
Egy adott megbízhatósági kapcsolat ellenőrzéséhez hitelesítő adatokra van szükség, kivéve, ha a felhasználó mindkét tartományban rendelkezik tartományi rendszergazdai jogosultságokkal.
Ha a Kerberos tartomány ATHENA-t szeretné beállítani a NorthAmerica tartomány megbízhatóságának beállításához, futtassa a következő parancsot:
netdom trust NorthAmerica /domain:ATHENA /add /realm
Az USA-Chicago és NorthAmerica megbízhatóságának visszavonásához (eltávolításához) futtassa a következő parancsot:
netdom trust USA-Chicago /domain:NorthAmerica /remove
A NorthAmerica és az USA-Chicago közötti egyirányú megbízhatóság biztonságos csatornájának alaphelyzetbe állításához futtassa a következő parancsot:
netdom trust USA-Chicago /domain:NorthAmerica /userd:NorthAmerica\admin /passwordd:* /reset
Annak ellenőrzéséhez, hogy a MyDomain tartomány és a devgroup.example.com tartomány közötti megbízhatósági kapcsolat támogatja-e a Kerberos-hitelesítést, futtassa a következő parancsot:
netdom trust MyDomain /domain:devgroup.example.com /verify /kerberos /userd:devgroup\admin /passwordd:* /usero:MyDomain\admin /passwordo:*
Megjegyzés:
Ezt a megbízhatósági műveletet nem futtathatja távoli helyről. A műveletet a tesztelni kívánt munkaállomáson kell futtatnia.
Ha engedélyezni vagy letiltani szeretné az első átirányítású név utótagját az előző parancs által létrehozott listában, futtassa a következő parancsot:
netdom trust myTestDomain /domain:foresttrustpartnerdomain /namesuffixes /togglesuffix:1
Dns-név utótagot csak olyan megbízhatósághoz adhat hozzá, amely egy erdőtovábbító, nem Windows rendszerű tartomány megbízhatósága. Ugyanez a korlátozás vonatkozik a név-utótag-útválasztás erdőszintű megbízhatósági kapcsolaton belüli kezelésére szolgáló paraméterekre:
/addtln/addtlnex/removetln/removetlnex