Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Il netdom trust comando consente agli amministratori di gestire, stabilire, verificare o reimpostare le relazioni di trust tra domini. È disponibile se è installato il ruolo del server Active Directory Domain Services (AD DS). È disponibile anche se si installano gli strumenti di Servizi di dominio Active Directory che fanno parte di Strumenti di amministrazione remota del server. Per altre informazioni, vedere Come amministrare computer client e server Di Microsoft Windows in locale e in remoto.
Per usare netdom trust, è necessario eseguire il comando da un prompt dei comandi con privilegi elevati.
Annotazioni
Il netdom trust comando non può essere usato per creare un trust tra foreste tra due foreste di Active Directory Domain Services. Per creare un trust tra foreste tra due foreste di Active Directory Domain Services, usare lo snap-in Domini e trust di Active Directory per creare e gestire trust tra foreste. La soluzione di scripting, ad esempio l'uso di PowerShell, è anche un'opzione per la gestione di questi tipi di trust se è necessario automatizzare il processo.
Sintassi
netdom trust trusting_domain_name /Domain:trusted_domain_name [/UserD:user]
[/PasswordD:[password | *]] [/UserO:user] [/PasswordO:[password | *]]
[/Verify] [/Reset] [/PasswordT:new_realm_trust_password]
[/Add] [/Remove] [/Twoway] [/Realm] [/Kerberos]
[/Transitive[:{yes | no}]]
[/OneSide:{trusted | trusting}] [/Force] [/Quarantine[:{yes | no}]]
[/NameSuffixes:trust_name [/ToggleSuffix:#]]
[/EnableSIDHistory[:{yes | no}]] [/ForestTransitive[:{yes | no}]]
[/CrossOrganization[:{yes | no}]] [/AddTLN:TopLevelName]
[/AddTLNEX:TopLevelNameExclusion] [/RemoveTLN:TopLevelName]
[/RemoveTLNEX:TopLevelNameExclusion] [/SecurePasswordPrompt]
[/EnableTgtDelegation[:{yes | no}]] [/EnablePIMTrust[:{yes | no}]]
[/AuthTargetValidation[:{yes | no}]] [/ChildDomain:childdomainname]
[/InvokeTrustScanner]
Parametri
| Parametro | Descrizione |
|---|---|
<TrustingDomainName> |
Specifica il nome del dominio attendibile. |
/domain:<TrustedDomainName> |
Specifica il nome del dominio attendibile o dell'area di autenticazione non Windows. Se non specificato, viene utilizzato il dominio corrente a cui appartiene il computer corrente. |
/userd:<User> |
Specifica l'account utente da utilizzare per la connessione con il dominio specificato usando il /domain parametro . L'impostazione predefinita è l'account utente corrente, se non specificato. |
/passwordd:<Password> | * |
Specifica la password per l'account utente usato con /userd. Usare * per richiedere la password. |
/usero:<User> |
Specifica l'account utente da usare per la connessione con il dominio attendibile. L'impostazione predefinita è l'account utente corrente, se non specificato. |
/passwordo:<Password> | * |
Specifica la password per l'account utente usato con /usero. Usare * per richiedere la password. |
/verify |
Verifica i segreti del canale sicuro per una relazione di trust specifica. |
/reset |
Reimposta il segreto di attendibilità tra domini attendibili o tra il controller di dominio e la workstation. |
/passwordt:<NewRealmTrustPassword> |
Imposta una nuova password di attendibilità. Questa opzione è valida solo con i /add parametri o /reset e solo se uno dei domini specificati è un'area di autenticazione Kerberos non Windows. La password di attendibilità è configurata solo nel dominio windows, quindi le credenziali per il dominio non Windows non sono necessarie. |
/add |
Crea un trust. |
/remove |
Rimuove un trust. |
/twoway |
Stabilisce una relazione di trust bidirezionale. |
/realm |
Crea l'attendibilità per un'area di autenticazione Kerberos non Windows. Valido solo con il /add parametro . Il parametro /passwordt è obbligatorio. |
/kerberos |
Usa il protocollo Kerberos per verificare l'autenticazione tra una workstation e il dominio specificato. Richiede credenziali sia per i domini di origine che per i domini di destinazione. |
/transitive:Yes | No |
Si applica solo ai trust dell'area di autenticazione Kerberos non Windows. Usare yes per rendere transitiva l'attendibilità o no per renderla non transitiva. Se non specificato, visualizza l'impostazione di transitività corrente. |
/oneside:trusted | trusting |
Specifica che l'operazione di trust deve essere eseguita su un solo lato della relazione di trust. Usare trusted per applicare l'operazione al dominio specificato con il /domain parametro (dominio "trusted") o per trusting applicarlo al dominio "trusting". Questa opzione è valida solo con i /add parametri e /remove . Se usato con /add, è necessario anche il /passwordt parametro . - Dominio attendibile: dominio considerato attendibile. In una relazione di trust, il dominio di attendibilità consente agli utenti del dominio attendibile di accedere alle relative risorse. Agli utenti del dominio attendibile vengono concesse determinate autorizzazioni o accesso all'interno del dominio attendibile. - Dominio attendibile: dominio che considera attendibile un altro dominio (dominio attendibile). Ciò significa essenzialmente che il dominio attendibile estende la propria attendibilità agli utenti del dominio attendibile, consentendo loro di accedere alle risorse all'interno del dominio attendibile. |
/force |
Rimuove sia l'oggetto dominio attendibile che l'oggetto di riferimento incrociato dalla foresta. Il nome DNS completo deve essere specificato per il dominio. Valido con il /remove parametro e, se specificato, viene rimosso un dominio figlio. |
/quarantine:Yes | No |
Imposta o cancella l'attributo di quarantena del dominio. Se non specificato, visualizza lo stato corrente.
Yes accetta solo SID dal dominio direttamente attendibile.
No accetta qualsiasi SID (impostazione predefinita).
/quarantine Se si specifica senza un'opzione, viene visualizzato lo stato corrente. |
/namesuffixes:<TrustName> |
Elenca i suffissi dei nomi indirizzati per l'attendibilità specificata. Questo parametro è valido solo per un trust tra foreste o un trust tra foreste transitive non Windows. Usare /usero e /passwordo per l'autenticazione, se necessario. Il /domain parametro non è obbligatorio per questa operazione. |
/togglesuffix:# |
Usare questo parametro con /namesuffixes per abilitare o disabilitare un suffisso di nome specifico. Specificare il numero della voce del nome come illustrato nell'output del comando precedente /namesuffixes . Non è possibile modificare lo stato dei nomi in conflitto finché il nome in conflitto nell'altra relazione di trust non viene disabilitato. Eseguire /namesuffixes sempre immediatamente prima /togglesuffix perché l'ordine delle voci del nome potrebbe cambiare. |
/enablesidhistory:Yes | No |
Abilita (Yes) o disabilita (No) gli utenti migrati nella foresta attendibile per usare la cronologia SID per accedere alle risorse. Valido solo per i trust tra foreste in uscita. Abilitare solo se si considera attendibile gli amministratori della foresta attendibile. Se non viene specificata un'opzione, viene visualizzato lo stato corrente. |
/foresttransitive:Yes | No |
Contrassegna il trust come transitivo della foresta (sì) o no (no). Valido solo per i trust di Active Directory e l'area di autenticazione non Windows è attendibile solo nel dominio radice per una foresta. Se non specificato, visualizza lo stato corrente. |
/selectiveauth:Yes | No |
Abilita (Yes) o disabilita l'autenticazione selettiva (No) nell'attendibilità. Valido solo nella foresta in uscita e nei trust esterni. Se non specificato, visualizza lo stato corrente. |
/addtln:<TopLevelName> |
Aggiunge il suffisso del nome DNS di primo livello specificato alle informazioni di attendibilità della foresta per l'attendibilità. Valido solo per un trust tra foreste transitive non Windows e solo nel dominio radice per una foresta. Eseguire /namesuffixes per un elenco di suffissi di nome. |
/addtlnex:<TopLevelNameExclusion> |
Aggiunge l'esclusione del nome di primo livello specificata (suffisso nome DNS) alle informazioni di attendibilità della foresta per l'attendibilità. Valido solo per un trust tra foreste transitive non Windows e solo nel dominio radice per una foresta. Eseguire /namesuffixes per un elenco di suffissi di nome. |
/removetln:<TopLevelName> |
Rimuove il suffisso del nome DNS di primo livello specificato dalle informazioni di attendibilità della foresta per l'attendibilità. Valido solo per un trust tra foreste transitive non Windows e solo nel dominio radice per una foresta. Eseguire /namesuffixes per un elenco di suffissi di nome. |
/removetlnex:<TopLevelNameExclusion> |
Rimuove l'esclusione del nome di primo livello specificata (suffisso nome DNS) dalle informazioni di attendibilità della foresta per l'attendibilità. Valido solo per un trust tra foreste transitive non Windows e solo nel dominio radice per una foresta. Eseguire /namesuffixes per un elenco di suffissi di nome. |
/securepasswordprompt |
Apre un popup di credenziali sicure per l'immissione delle credenziali. Ciò è utile quando si specificano le credenziali della smart card. Questa opzione è valida solo quando la password viene immessa come *. |
/enabletgtdelegation:Yes | No |
Abilita () o disabilita (YesNo) la delega completa Kerberos nei trust tra foreste in uscita. Se impostato su No, la delega completa Kerberos viene bloccata, impedendo ai servizi nell'altra foresta di ricevere ticket di concessione ticket inoltrati (TGT). La disabilitazione di questa opzione significa che i servizi nell'altra foresta configurati per "Considera attendibile il computer o l'utente per la delega a qualsiasi servizio" non sono in grado di usare la delega completa Kerberos con qualsiasi account in questa foresta. |
/enablepimtrust:Yes | No |
Abilita (Yes) o disabilita (No) i comportamenti di attendibilità di Privileged Identity Management (PIM) per questa relazione di trust. Il trust deve essere contrassegnato come transitivo della foresta prima di abilitare questo attributo. Se /enablepimtrust viene specificato senza Yes o No, viene visualizzato lo stato corrente di questo attributo. |
/authtargetvalidation:Yes | No |
Abilita (Yes) o disabilita la convalida della destinazione di autenticazione (No) per le richieste di autenticazione nell'attendibilità specificata. Per i trust tra foreste, è possibile limitare questa impostazione a un dominio figlio specifico usando il /childdomain parametro . La disabilitazione di questa convalida potrebbe esporre l'ambiente ai rischi per la sicurezza dalla foresta remota e deve essere eseguita solo quando necessario. |
/childdomain:<ChildDomainName> |
Usare per impostare come destinazione un dominio figlio all'interno di una struttura di dominio più grande quando si eseguono operazioni correlate all'attendibilità per garantire che l'operazione di trust venga applicata direttamente al dominio figlio. Questo parametro è utile negli scenari in cui è necessario un controllo preciso sulle relazioni di trust all'interno di ambienti di dominio complessi. |
/invoketrustscanner |
Avvia un'analisi di attendibilità per il dominio trusting specificato. Se il dominio di attendibilità è impostato su *, vengono analizzati tutti i trust. Questo comando deve essere eseguito localmente nel controller di dominio primario. Lo scanner di attendibilità viene in genere eseguito automaticamente. Usare questo comando solo per la risoluzione dei problemi o per scopi di supporto. |
help | /? |
Visualizza la guida al prompt dei comandi. |
Esempi
Per impostare il dominio USA-Chicago in modo che consideri attendibile il dominio NorthAmerica, eseguire il comando seguente:
netdom trust USA-Chicago /domain:NorthAmerica /add /userd:NorthAmerica\admin /passwordd:* /usero:USA-Chicago\admin /passwordo:*
Per stabilire un trust bidirezionale tra il dominio engineering.contoso.com e il dominio marketing.contoso.com , eseguire il comando seguente:
netdom trust engineering.contoso.com /domain:marketing.contoso.com /add /twoway /usero:admin@engineering.contoso.com /passwordo:* /userd:admin@marketing.contoso.com /passwordd:*
Per stabilire un trust unidirezionale in cui il dominio NorthAmerica considera attendibile l'area di autenticazione KERBEROS non Windows KERBEROS, eseguire il comando seguente:
netdom trust NorthAmerica /domain:ATHENA /add /passwordt:* /realm
Annotazioni
La verifica di una relazione di trust specifica richiede credenziali a meno che l'utente non disponga dei privilegi di amministratore di dominio in entrambi i domini.
Se si vuole impostare l'area di autenticazione Kerberos KERBEROS per considerare attendibile il dominio NorthAmerica , eseguire il comando seguente:
netdom trust NorthAmerica /domain:ATHENA /add /realm
Per annullare (rimuovere) l'attendibilità che USA-Chicago ha con NorthAmerica, eseguire il comando seguente:
netdom trust USA-Chicago /domain:NorthAmerica /remove
Per reimpostare il canale sicuro per l'attendibilità unidirezionale tra NorthAmerica e USA-Chicago, eseguire il comando seguente:
netdom trust USA-Chicago /domain:NorthAmerica /userd:NorthAmerica\admin /passwordd:* /reset
Per verificare che la relazione di trust tra il dominio MyDomain e il dominio devgroup.example.com supporti l'autenticazione Kerberos, eseguire il comando seguente:
netdom trust MyDomain /domain:devgroup.example.com /verify /kerberos /userd:devgroup\admin /passwordd:* /usero:MyDomain\admin /passwordo:*
Annotazioni
Non è possibile eseguire questa operazione di trust da una posizione remota. È necessario eseguire l'operazione sulla workstation da testare.
Per abilitare o disabilitare il primo suffisso del nome indirizzato nell'elenco generato dal comando precedente, eseguire il comando seguente:
netdom trust myTestDomain /domain:foresttrustpartnerdomain /namesuffixes /togglesuffix:1
È possibile aggiungere solo un suffisso di nome DNS per un trust che è un trust transitivo non windows transitivo della foresta. La stessa restrizione si applica ai parametri per la gestione del routing del suffisso del nome all'interno di un trust tra foreste:
/addtln/addtlnex/removetln/removetlnex