Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта netdom trust команда позволяет администраторам управлять, устанавливать, проверять или сбрасывать отношения доверия между доменами. Он доступен, если у вас установлена роль сервера доменных служб Active Directory (AD DS). Он также доступен, если установить средства AD DS, которые входят в состав средств удаленного администрирования сервера (RSAT). Дополнительные сведения см. в статье "Управление клиентами и серверами Microsoft Windows" локально и удаленно.
Чтобы использовать netdom trust, необходимо выполнить команду из командной строки с повышенными привилегиями.
Замечание
Команда netdom trust не может использоваться для создания доверия к лесу между двумя лесами AD DS. Чтобы создать отношение доверия между двумя лесами AD DS, используйте оснастку "Домены Active Directory" и "Доверие " для создания доверия лесов и управления ими. Решение для сценариев, например использование PowerShell, также позволяет управлять этими типами доверия, если необходимо автоматизировать процесс.
Синтаксис
netdom trust trusting_domain_name /Domain:trusted_domain_name [/UserD:user]
[/PasswordD:[password | *]] [/UserO:user] [/PasswordO:[password | *]]
[/Verify] [/Reset] [/PasswordT:new_realm_trust_password]
[/Add] [/Remove] [/Twoway] [/Realm] [/Kerberos]
[/Transitive[:{yes | no}]]
[/OneSide:{trusted | trusting}] [/Force] [/Quarantine[:{yes | no}]]
[/NameSuffixes:trust_name [/ToggleSuffix:#]]
[/EnableSIDHistory[:{yes | no}]] [/ForestTransitive[:{yes | no}]]
[/CrossOrganization[:{yes | no}]] [/AddTLN:TopLevelName]
[/AddTLNEX:TopLevelNameExclusion] [/RemoveTLN:TopLevelName]
[/RemoveTLNEX:TopLevelNameExclusion] [/SecurePasswordPrompt]
[/EnableTgtDelegation[:{yes | no}]] [/EnablePIMTrust[:{yes | no}]]
[/AuthTargetValidation[:{yes | no}]] [/ChildDomain:childdomainname]
[/InvokeTrustScanner]
Параметры
| Параметр | Описание |
|---|---|
<TrustingDomainName> |
Указывает имя доверенного домена. |
/domain:<TrustedDomainName> |
Указывает имя доверенного домена или области, отличной от Windows. Если он не указан, используется текущий домен, к которому принадлежит текущий компьютер. |
/userd:<User> |
Указывает учетную запись пользователя, используемую для подключения к домену, указанному /domain с помощью параметра. По умолчанию используется текущая учетная запись пользователя, если она не указана. |
/passwordd:<Password> | * |
Задает пароль для учетной записи пользователя, используемой с /userd. Используйте * для запроса пароля. |
/usero:<User> |
Указывает учетную запись пользователя, используемую для подключения к домену доверия. По умолчанию используется текущая учетная запись пользователя, если она не указана. |
/passwordo:<Password> | * |
Задает пароль для учетной записи пользователя, используемой с /usero. Используйте * для запроса пароля. |
/verify |
Проверяет секреты безопасного канала для определенной связи доверия. |
/reset |
Сбрасывает секрет доверия между доверенными доменами или между контроллером домена и рабочей станцией. |
/passwordt:<NewRealmTrustPassword> |
Задает новый пароль доверия. Этот параметр действителен только с /add параметрами или /reset параметрами, и только если один из указанных доменов является областью Kerberos, отличной от Windows. Пароль доверия настраивается только в домене Windows, поэтому учетные данные для домена, отличного от Windows, не требуются. |
/add |
Создает доверие. |
/remove |
Удаляет доверие. |
/twoway |
Устанавливает двустороннее отношение доверия. |
/realm |
Создает доверие для области Kerberos, отличной от Windows. Допустимо только с параметром /add . Параметр /passwordt является обязательным. |
/kerberos |
Использует протокол Kerberos для проверки подлинности между рабочей станцией и указанным доменом. Требует учетные данные для исходных и целевых доменов. |
/transitive:Yes | No |
Применяется только к довериям к области Kerberos, отличной от Windows. Используется yes для транзитивного отношения доверия или no для того, чтобы сделать его не транзитивным. Если значение не указано, отображает текущий параметр транзитивности. |
/oneside:trusted | trusting |
Указывает, что операция доверия должна выполняться только на одной стороне отношения доверия. Используется trusted для применения операции к домену, указанному с /domain параметром (доверенным доменом), или использовать trusting его для применения к домену доверия. Этот параметр действителен только с параметрами и /add параметрами/remove. При использовании с /add/passwordt параметром также требуется. - Доверенный домен: это доверенный домен. В отношениях доверия домен доверия позволяет пользователям из доверенного домена получать доступ к своим ресурсам. Пользователи доверенного домена получают определенные разрешения или доступ в доверенном домене. - Доверенный домен: это домен, которому доверяет другой домен (доверенный домен). По сути, это означает, что доверенный домен расширяет доверие пользователей доверенного домена, позволяя им получать доступ к ресурсам в доверенном домене. |
/force |
Удаляет из леса как доверенный объект домена, так и перекрестный объект. Полное DNS-имя должно быть указано для домена. Допустимый /remove параметр и при указании дочернего домена удаляется. |
/quarantine:Yes | No |
Задает или очищает атрибут карантина домена. Если оно не указано, отображает текущее состояние.
Yes принимает только идентификаторы SID из прямого доверенного домена.
No принимает любой идентификатор безопасности (по умолчанию). При /quarantine указании без параметра отображается текущее состояние. |
/namesuffixes:<TrustName> |
Перечисляет суффиксы перенаправленного имени для указанного доверия. Этот параметр действителен только для доверия леса или транзитивного отношения леса, отличного от Windows. При необходимости используйте /usero и /passwordo для проверки подлинности. Параметр /domain не требуется для этой операции. |
/togglesuffix:# |
Используйте этот параметр для /namesuffixes включения или отключения суффикса определенного имени. Укажите номер записи имени, как показано в выходных данных предыдущей /namesuffixes команды. Невозможно изменить состояние имен, которые находятся в конфликте, пока конфликтующее имя в другом доверии не будет отключено. Всегда выполняться /namesuffixes непосредственно перед /togglesuffix тем, как порядок записей имен может измениться. |
/enablesidhistory:Yes | No |
Включает () или отключаетYes (No) перенесенных пользователей в доверенном лесу, чтобы использовать журнал безопасности для доступа к ресурсам. Допустимо только для доверия исходящего леса. Включить только в том случае, если вы доверяете администраторам доверенного леса. Если параметр не указан, отображается текущее состояние. |
/foresttransitive:Yes | No |
Помечает доверие как транзитивный лес (да) или нет (нет). Допустимо только для доверия AD и не доверяет области Windows только в корневом домене леса. Если оно не указано, отображает текущее состояние. |
/selectiveauth:Yes | No |
Включает () или отключает выборочнуюYes проверку подлинности (No) в доверии. Допустимо только для исходящего леса и внешних доверий. Если оно не указано, отображает текущее состояние. |
/addtln:<TopLevelName> |
Добавляет указанный суффикс DNS-имени верхнего уровня в сведения о доверии леса для доверия. Допустимо только для транзитивного доверия к лесу, отличного от Windows, и только для корневого домена для леса. Запустите /namesuffixes список суффиксов имен. |
/addtlnex:<TopLevelNameExclusion> |
Добавляет указанное исключение имени верхнего уровня (DNS-суффикс) в сведения о доверии леса для доверия. Допустимо только для транзитивного доверия к лесу, отличного от Windows, и только для корневого домена для леса. Запустите /namesuffixes список суффиксов имен. |
/removetln:<TopLevelName> |
Удаляет указанный DNS-суффикс DNS верхнего уровня из сведений о доверии леса для доверия. Допустимо только для транзитивного доверия к лесу, отличного от Windows, и только для корневого домена для леса. Запустите /namesuffixes список суффиксов имен. |
/removetlnex:<TopLevelNameExclusion> |
Удаляет указанное исключение имени верхнего уровня (DNS-имя суффикс) из сведений о доверии леса для доверия. Допустимо только для транзитивного доверия к лесу, отличного от Windows, и только для корневого домена для леса. Запустите /namesuffixes список суффиксов имен. |
/securepasswordprompt |
Открывает всплывающее окно безопасных учетных данных для ввода учетных данных. Это полезно при указании учетных данных смарт-карты. Этот параметр действует только в том случае, если пароль вводится как *. |
/enabletgtdelegation:Yes | No |
Включает (Yes) или отключает () полное делегированиеNo Kerberos в отношениях доверия исходящего леса. Если задано значение No, полный делегирование Kerberos блокируется, предотвращая передачу служб в другом лесу от получения перенаправленных билетов предоставления билетов (TGTs). Отключение этого параметра означает, что службы в другом лесу, настроенные для " Доверять этому компьютеру или пользователю для делегирования в любую службу", не могут использовать полное делегирование Kerberos с любой учетной записью в этом лесу. |
/enablepimtrust:Yes | No |
Включает (Yes) или отключаетNo () поведение доверия привилегированного управления удостоверениями (PIM) для этого доверия. Перед включением этого атрибута доверие должно быть отмечено как транзитивное лес. Если /enablepimtrust задано без Yes или Noотображается текущее состояние этого атрибута. |
/authtargetvalidation:Yes | No |
Включает (Yes) или отключаетNo () проверку целевого объекта проверки подлинности для запросов проверки подлинности в указанном доверии. Для доверия леса этот параметр можно ограничить определенным дочерним доменом с помощью /childdomain параметра. Отключение этой проверки может привести к рискам безопасности из удаленного леса и выполняться только при необходимости. |
/childdomain:<ChildDomainName> |
Используется для целевого дочернего домена в более крупной структуре домена при выполнении операций, связанных с доверием, чтобы убедиться, что операция доверия применяется непосредственно к дочернему домену. Этот параметр полезен в сценариях, когда точный контроль над отношениями доверия необходим в сложных средах домена. |
/invoketrustscanner |
Инициирует проверку доверия для указанного домена доверия. Если для домена доверия задано *значение, все доверия проверяются. Эта команда должна выполняться локально на основном контроллере домена. Средство проверки доверия обычно выполняется автоматически. Используйте эту команду только для устранения неполадок или поддержки. |
help | /? |
Отображает справку в командной строке. |
Примеры
Чтобы задать домен США-Чикаго , чтобы доверять домену NorthAmerica, выполните следующую команду:
netdom trust USA-Chicago /domain:NorthAmerica /add /userd:NorthAmerica\admin /passwordd:* /usero:USA-Chicago\admin /passwordo:*
Чтобы установить двустороннее доверие между доменом engineering.contoso.com и доменом marketing.contoso.com , выполните следующую команду:
netdom trust engineering.contoso.com /domain:marketing.contoso.com /add /twoway /usero:admin@engineering.contoso.com /passwordo:* /userd:admin@marketing.contoso.com /passwordd:*
Чтобы установить одностороннее доверие, в котором домен NorthAmerica доверяет области ATHENA, отличной от Windows Kerberos, выполните следующую команду:
netdom trust NorthAmerica /domain:ATHENA /add /passwordt:* /realm
Замечание
Проверка определенной связи доверия требует учетных данных, если у пользователя нет прав администратора домена в обоих доменах.
Если вы хотите задать область Kerberos ATHENA для доверия к домену NorthAmerica , выполните следующую команду:
netdom trust NorthAmerica /domain:ATHENA /add /realm
Чтобы отменить (удалить) доверие, которое США-Чикаго имеет с NorthAmerica, выполните следующую команду:
netdom trust USA-Chicago /domain:NorthAmerica /remove
Чтобы сбросить безопасный канал для одностороннего доверия между NorthAmerica и США-Chicago, выполните следующую команду:
netdom trust USA-Chicago /domain:NorthAmerica /userd:NorthAmerica\admin /passwordd:* /reset
Чтобы убедиться, что связь доверия между доменом MyDomain и доменом devgroup.example.com поддерживает проверку подлинности Kerberos, выполните следующую команду:
netdom trust MyDomain /domain:devgroup.example.com /verify /kerberos /userd:devgroup\admin /passwordd:* /usero:MyDomain\admin /passwordo:*
Замечание
Эту операцию доверия нельзя запустить из удаленного расположения. Необходимо выполнить операцию на рабочей станции, которую требуется протестировать.
Чтобы включить или отключить первый суффикс перенаправленного имени в списке, созданном предыдущей командой, выполните следующую команду:
netdom trust myTestDomain /domain:foresttrustpartnerdomain /namesuffixes /togglesuffix:1
Суффикс DNS-имени можно добавить только для доверия, который является транзитивным доверием к лесу, отличному от Windows. Это же ограничение применяется к параметрам для управления маршрутизацией суффиксов имен в доверии леса:
/addtln/addtlnex/removetln/removetlnex