Condividi tramite


Domini primari e attendibili

I termini seguenti descrivono i domini esistenti nei sistemi remoti.

  • dominio primario
  • di dominio attendibile

Dominio primario

Un dominio primario è il dominio responsabile della definizione di ulteriori relazioni di trust e dell'esecuzione dell'autenticazione (o per il passaggio di una richiesta di autenticazione a un dominio attendibile appropriato). I controller di dominio nell'handle di dominio primario o passano le richieste di autenticazione che hanno origine nella workstation.

Quando si verifica l'accesso, LSA controlla i domini predefiniti e dell'account per le informazioni di autenticazione. Se l'account a cui è stato eseguito l'accesso non si trova in nessuno di questi domini, la richiesta di accesso viene inviata al dominio primario del sistema.

Dominio attendibile

Un dominio attendibile è un dominio considerato attendibile dal sistema locale per autenticare gli utenti. In altre parole, se un utente o un'applicazione viene autenticato da un dominio attendibile, questa autenticazione viene accettata da tutti i domini che considerano attendibile il dominio di autenticazione.

Ogni dominio subordinato ha automaticamente una relazione di trust bidirezionale con il dominio principale. Per impostazione predefinita, questa relazione di trust è transitiva, ovvero se un sistema considera attendibile il dominio A, considera attendibili anche tutti i domini attendibili del dominio A. I trust unidirezionale sono supportati anche per i sistemi operativi precedenti a Windows 2000, che non supportano trust transitivi e bidirezionali.

L''autorità di sicurezza locale (LSA) ha un tipo di oggetto, TrustedDomain, usato per archiviare informazioni sulle relazioni di trust, inclusi il nome e identificatore di sicurezza (SID) del dominio attendibile, l'account nel dominio da usare per le richieste di autenticazione, le richieste di conversione di nome e SID, e i nomi dei controller di dominio nel dominio attendibile.

Nei controller di dominio, LSA crea un'istanza di un oggetto TrustedDomain per ogni dominio considerato attendibile dal sistema locale.

Ad esempio, se una workstation Windows XP considera attendibile un controller di dominio Windows 2000 che a sua volta considera attendibili quattro altri sistemi, la workstation, connessa tramite trust transitivo, avrà cinque oggetti TrustedDomain nel sistema locale.