Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Perintah ini netdom trust memungkinkan administrator untuk mengelola, membuat, memverifikasi, atau mengatur ulang hubungan kepercayaan antar domain. Ini tersedia jika Anda memiliki peran server Active Directory Domain Services (AD DS) yang terinstal. Ini juga tersedia jika Anda menginstal alat AD DS yang merupakan bagian dari Remote Server Administration Tools (RSAT). Untuk informasi selengkapnya, lihat Cara Mengelola Klien Microsoft Windows dan Komputer Server Secara Lokal dan Jarak Jauh.
Untuk menggunakan netdom trust, Anda harus menjalankan perintah dari prompt perintah yang ditingkatkan.
Nota
Perintah netdom trust tidak dapat digunakan untuk membuat kepercayaan forest di antara dua forest AD DS. Untuk membuat kepercayaan lintas forest antara dua forest AD DS, gunakan snap-in Domain Direktori Aktif dan Kepercayaan untuk membuat dan mengelola kepercayaan hutan. Solusi pembuatan skrip seperti menggunakan PowerShell juga merupakan opsi untuk mengelola jenis kepercayaan ini jika Anda perlu mengotomatiskan proses.
Sintaksis
netdom trust trusting_domain_name /Domain:trusted_domain_name [/UserD:user]
[/PasswordD:[password | *]] [/UserO:user] [/PasswordO:[password | *]]
[/Verify] [/Reset] [/PasswordT:new_realm_trust_password]
[/Add] [/Remove] [/Twoway] [/Realm] [/Kerberos]
[/Transitive[:{yes | no}]]
[/OneSide:{trusted | trusting}] [/Force] [/Quarantine[:{yes | no}]]
[/NameSuffixes:trust_name [/ToggleSuffix:#]]
[/EnableSIDHistory[:{yes | no}]] [/ForestTransitive[:{yes | no}]]
[/CrossOrganization[:{yes | no}]] [/AddTLN:TopLevelName]
[/AddTLNEX:TopLevelNameExclusion] [/RemoveTLN:TopLevelName]
[/RemoveTLNEX:TopLevelNameExclusion] [/SecurePasswordPrompt]
[/EnableTgtDelegation[:{yes | no}]] [/EnablePIMTrust[:{yes | no}]]
[/AuthTargetValidation[:{yes | no}]] [/ChildDomain:childdomainname]
[/InvokeTrustScanner]
Parameter-parameternya
| Pengaturan | Deskripsi |
|---|---|
<TrustingDomainName> |
Menentukan nama domain tepercaya. |
/domain:<TrustedDomainName> |
Menentukan nama domain tepercaya atau realm non-Windows. Jika tidak ditentukan, domain saat ini tempat komputer saat ini berada digunakan. |
/userd:<User> |
Menentukan akun pengguna yang akan digunakan untuk koneksi dengan domain yang ditentukan menggunakan /domain parameter . Default ke akun pengguna saat ini jika tidak ditentukan. |
/passwordd:<Password> | * |
Menentukan kata sandi untuk akun pengguna yang digunakan dengan /userd. Gunakan * untuk meminta kata sandi. |
/usero:<User> |
Menentukan akun pengguna yang akan digunakan untuk koneksi dengan domain tepercaya. Default ke akun pengguna saat ini jika tidak ditentukan. |
/passwordo:<Password> | * |
Menentukan kata sandi untuk akun pengguna yang digunakan dengan /usero. Gunakan * untuk meminta kata sandi. |
/verify |
Memverifikasi rahasia saluran aman untuk hubungan kepercayaan tertentu. |
/reset |
Mengatur ulang rahasia kepercayaan antara domain tepercaya atau antara pengendali domain (DC) dan stasiun kerja. |
/passwordt:<NewRealmTrustPassword> |
Mengatur kata sandi kepercayaan baru. Opsi ini hanya valid dengan /add parameter atau /reset , dan hanya jika salah satu domain yang ditentukan adalah realm Kerberos non-Windows. Kata sandi kepercayaan hanya dikonfigurasi pada domain Windows, sehingga kredensial untuk domain non-Windows tidak diperlukan. |
/add |
Membuat kepercayaan. |
/remove |
Menghapus kepercayaan. |
/twoway |
Membangun hubungan kepercayaan dua arah. |
/realm |
Membuat kepercayaan untuk realm Kerberos non-Windows. Hanya valid dengan /add parameter . Parameter /passwordt diperlukan. |
/kerberos |
Menggunakan protokol Kerberos untuk memverifikasi autentikasi antara stasiun kerja dan domain yang ditentukan. Memerlukan kredensial untuk domain sumber dan target. |
/transitive:Yes | No |
Hanya berlaku untuk kepercayaan realm Non-Windows Kerberos. Gunakan yes untuk membuat kepercayaan transitif, atau no untuk membuatnya non-transitif. Jika tidak ditentukan, menampilkan pengaturan transitivitas saat ini. |
/oneside:trusted | trusting |
Menentukan bahwa operasi kepercayaan harus dilakukan hanya pada satu sisi hubungan kepercayaan. Gunakan trusted untuk menerapkan operasi ke domain yang ditentukan dengan /domain parameter (domain "tepercaya"), atau gunakan trusting untuk menerapkannya ke domain "kepercayaan". Opsi ini hanya valid dengan /add parameter dan /remove . Saat digunakan dengan /add, /passwordt parameter juga diperlukan. - Domain Tepercaya: Ini adalah domain yang sedang dipercaya. Dalam hubungan kepercayaan, domain tepercaya memungkinkan pengguna dari domain tepercaya untuk mengakses sumber dayanya. Pengguna domain tepercaya diberi izin atau akses tertentu dalam domain tepercaya. - Domain Tepercaya: Ini adalah domain yang mempercayai domain lain (domain tepercaya). Ini pada dasarnya berarti bahwa domain tepercaya memperluas kepercayaannya kepada pengguna domain tepercaya, memungkinkan mereka mengakses sumber daya dalam domain tepercaya. |
/force |
Menghapus objek domain tepercaya dan objek referensi silang dari forest. Nama DNS lengkap harus ditentukan untuk domain. Valid dengan /remove parameter dan jika ditentukan, domain anak dihapus. |
/quarantine:Yes | No |
Mengatur atau menghapus atribut karantina domain. Jika tidak ditentukan, menampilkan status saat ini.
Yes hanya menerima SID dari domain tepercaya langsung.
No menerima SID apa pun (default). Menentukan /quarantine tanpa opsi menampilkan status saat ini. |
/namesuffixes:<TrustName> |
Mencantumkan akhiran nama yang dirutekan untuk kepercayaan yang ditentukan. Parameter ini hanya berlaku untuk kepercayaan hutan atau kepercayaan realm non-Windows transitif forest. Gunakan /usero dan /passwordo untuk autentikasi jika diperlukan. Parameter /domain tidak diperlukan untuk operasi ini. |
/togglesuffix:# |
Gunakan parameter ini dengan /namesuffixes untuk mengaktifkan atau menonaktifkan akhiran nama tertentu. Tentukan jumlah entri nama seperti yang ditunjukkan dalam output perintah sebelumnya /namesuffixes . Anda tidak dapat mengubah status nama yang berkonflik hingga nama yang bertentangan dalam kepercayaan lain dinonaktifkan. Selalu jalankan /namesuffixes segera sebelum /togglesuffix karena urutan entri nama mungkin berubah. |
/enablesidhistory:Yes | No |
Mengaktifkan (Yes) atau menonaktifkan (No) pengguna yang dimigrasikan di forest tepercaya untuk menggunakan riwayat SID untuk mengakses sumber daya. Hanya berlaku untuk kepercayaan hutan keluar. Hanya aktifkan jika Anda mempercayai administrator forest tepercaya. Jika opsi tidak ditentukan, status saat ini ditampilkan. |
/foresttransitive:Yes | No |
Menandai kepercayaan sebagai transitif forest (ya) atau tidak (tidak). Hanya berlaku untuk kepercayaan AD dan kepercayaan realm non-Windows hanya pada domain akar untuk forest. Jika tidak ditentukan, menampilkan status saat ini. |
/selectiveauth:Yes | No |
Mengaktifkan (Yes) atau menonaktifkan (No) autentikasi selektif di seluruh kepercayaan. Hanya berlaku pada forest keluar dan kepercayaan eksternal. Jika tidak ditentukan, menampilkan status saat ini. |
/addtln:<TopLevelName> |
Menambahkan akhiran nama DNS tingkat atas yang ditentukan ke info kepercayaan forest untuk kepercayaan tersebut. Hanya berlaku untuk kepercayaan realm non-Windows transitif forest dan hanya pada domain akar untuk forest. Jalankan /namesuffixes untuk daftar akhiran nama. |
/addtlnex:<TopLevelNameExclusion> |
Menambahkan pengecualian nama tingkat atas yang ditentukan (akhiran nama DNS) ke info kepercayaan forest untuk kepercayaan tersebut. Hanya berlaku untuk kepercayaan realm non-Windows transitif forest dan hanya pada domain akar untuk forest. Jalankan /namesuffixes untuk daftar akhiran nama. |
/removetln:<TopLevelName> |
Menghapus akhiran nama DNS tingkat atas yang ditentukan dari info kepercayaan forest untuk kepercayaan tersebut. Hanya berlaku untuk kepercayaan realm non-Windows transitif forest dan hanya pada domain akar untuk forest. Jalankan /namesuffixes untuk daftar akhiran nama. |
/removetlnex:<TopLevelNameExclusion> |
Menghapus pengecualian nama tingkat atas yang ditentukan (akhiran nama DNS) dari info kepercayaan hutan untuk kepercayaan tersebut. Hanya berlaku untuk kepercayaan realm non-Windows transitif forest dan hanya pada domain akar untuk forest. Jalankan /namesuffixes untuk daftar akhiran nama. |
/securepasswordprompt |
Membuka popup kredensial aman untuk memasukkan kredensial. Ini berguna saat menentukan kredensial kartu pintar. Opsi ini hanya efektif ketika kata sandi dimasukkan sebagai *. |
/enabletgtdelegation:Yes | No |
Mengaktifkan (Yes) atau menonaktifkan (No) delegasi penuh Kerberos pada kepercayaan forest keluar. Ketika diatur ke No, delegasi penuh Kerberos diblokir, mencegah layanan di forest lain menerima Tiket Pemberian Tiket (TGT) yang diteruskan. Menonaktifkan opsi ini berarti bahwa layanan di forest lain yang dikonfigurasi untuk "Percayai komputer/pengguna ini untuk delegasi ke layanan apa pun" tidak dapat menggunakan delegasi penuh Kerberos dengan akun apa pun di forest ini. |
/enablepimtrust:Yes | No |
Mengaktifkan (Yes) atau menonaktifkan (No) perilaku kepercayaan Privileged Identity Management (PIM) untuk kepercayaan ini. Kepercayaan harus ditandai sebagai transitif forest sebelum mengaktifkan atribut ini. Jika /enablepimtrust ditentukan tanpa Yes atau No, status atribut ini saat ini ditampilkan. |
/authtargetvalidation:Yes | No |
Mengaktifkan (Yes) atau menonaktifkan (No) validasi target autentikasi untuk permintaan autentikasi pada kepercayaan yang ditentukan. Untuk kepercayaan forest, Anda dapat membatasi pengaturan ini ke domain anak tertentu menggunakan /childdomain parameter . Menonaktifkan validasi ini mungkin mengekspos lingkungan Anda terhadap risiko keamanan dari hutan jarak jauh dan hanya boleh dilakukan jika perlu. |
/childdomain:<ChildDomainName> |
Gunakan untuk menargetkan domain anak dalam struktur domain yang lebih besar saat melakukan operasi terkait kepercayaan untuk memastikan bahwa operasi kepercayaan berlaku langsung ke domain anak. Parameter ini berguna dalam skenario di mana kontrol yang tepat atas hubungan kepercayaan diperlukan dalam lingkungan domain yang kompleks. |
/invoketrustscanner |
Memulai pemindaian kepercayaan untuk domain tepercaya yang ditentukan. Jika domain kepercayaan diatur ke *, semua kepercayaan dipindai. Perintah ini harus dijalankan secara lokal pada DC utama. Pemindai kepercayaan biasanya berjalan secara otomatis. Gunakan perintah ini hanya untuk tujuan pemecahan masalah atau dukungan. |
help | /? |
Menampilkan bantuan pada prompt perintah. |
Contoh
Untuk mengatur domain USA-Chicago agar mempercayai domain NorthAmerica, jalankan perintah berikut:
netdom trust USA-Chicago /domain:NorthAmerica /add /userd:NorthAmerica\admin /passwordd:* /usero:USA-Chicago\admin /passwordo:*
Untuk membangun kepercayaan dua arah antara domain engineering.contoso.com dan domain marketing.contoso.com , jalankan perintah berikut:
netdom trust engineering.contoso.com /domain:marketing.contoso.com /add /twoway /usero:admin@engineering.contoso.com /passwordo:* /userd:admin@marketing.contoso.com /passwordd:*
Untuk membangun kepercayaan satu arah di mana domain NorthAmerica mempercayai ATHENA realm Non-Windows Kerberos, jalankan perintah berikut:
netdom trust NorthAmerica /domain:ATHENA /add /passwordt:* /realm
Nota
Memverifikasi hubungan kepercayaan tertentu memerlukan kredensial kecuali pengguna memiliki hak istimewa administrator domain di kedua domain.
Jika Anda ingin mengatur ATHENA realm Kerberos untuk mempercayai domain NorthAmerica , jalankan perintah berikut:
netdom trust NorthAmerica /domain:ATHENA /add /realm
Untuk membatalkan (menghapus) kepercayaan yang dimiliki AS-Chicago dengan NorthAmerica, jalankan perintah berikut:
netdom trust USA-Chicago /domain:NorthAmerica /remove
Untuk mengatur ulang saluran aman untuk kepercayaan satu arah antara NorthAmerica dan USA-Chicago, jalankan perintah berikut:
netdom trust USA-Chicago /domain:NorthAmerica /userd:NorthAmerica\admin /passwordd:* /reset
Untuk memverifikasi bahwa hubungan kepercayaan antara domain MyDomain dan domain devgroup.example.com mendukung autentikasi Kerberos, jalankan perintah berikut:
netdom trust MyDomain /domain:devgroup.example.com /verify /kerberos /userd:devgroup\admin /passwordd:* /usero:MyDomain\admin /passwordo:*
Nota
Anda tidak dapat menjalankan operasi kepercayaan ini dari lokasi jarak jauh. Anda harus menjalankan operasi di stasiun kerja yang ingin Anda uji.
Untuk mengaktifkan atau menonaktifkan akhiran nama rute pertama dalam daftar yang dihasilkan oleh perintah sebelumnya, jalankan perintah berikut:
netdom trust myTestDomain /domain:foresttrustpartnerdomain /namesuffixes /togglesuffix:1
Anda hanya bisa menambahkan akhiran nama DNS untuk kepercayaan yang merupakan kepercayaan realm non-Windows transitif forest. Pembatasan yang sama berlaku untuk parameter untuk mengelola perutean akhiran nama dalam kepercayaan hutan:
/addtln/addtlnex/removetln/removetlnex