Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Med netdom trust kommandot kan administratörer hantera, upprätta, verifiera eller återställa förtroenderelationer mellan domäner. Den är tillgänglig om du har serverrollen Active Directory Domain Services (AD DS) installerad. Det är också tillgängligt om du installerar AD DS-verktygen som ingår i RSAT (Remote Server Administration Tools). Mer information finns i Administrera Microsoft Windows-klient- och serverdatorer lokalt och via fjärranslutning.
Om du vill använda netdom trustmåste du köra kommandot från en upphöjd kommandotolk.
Anmärkning
Kommandot netdom trust kan inte användas för att skapa ett skogsförtroende mellan två AD DS-skogar. Om du vill skapa ett förtroende mellan skogar mellan två AD DS-skogar använder du snapin-modulen Active Directory Domains and Trusts för att skapa och hantera skogsförtroenden. Skriptlösning som att använda PowerShell är också ett alternativ för att hantera dessa typer av förtroenden om du behöver automatisera processen.
Syntax
netdom trust trusting_domain_name /Domain:trusted_domain_name [/UserD:user]
[/PasswordD:[password | *]] [/UserO:user] [/PasswordO:[password | *]]
[/Verify] [/Reset] [/PasswordT:new_realm_trust_password]
[/Add] [/Remove] [/Twoway] [/Realm] [/Kerberos]
[/Transitive[:{yes | no}]]
[/OneSide:{trusted | trusting}] [/Force] [/Quarantine[:{yes | no}]]
[/NameSuffixes:trust_name [/ToggleSuffix:#]]
[/EnableSIDHistory[:{yes | no}]] [/ForestTransitive[:{yes | no}]]
[/CrossOrganization[:{yes | no}]] [/AddTLN:TopLevelName]
[/AddTLNEX:TopLevelNameExclusion] [/RemoveTLN:TopLevelName]
[/RemoveTLNEX:TopLevelNameExclusion] [/SecurePasswordPrompt]
[/EnableTgtDelegation[:{yes | no}]] [/EnablePIMTrust[:{yes | no}]]
[/AuthTargetValidation[:{yes | no}]] [/ChildDomain:childdomainname]
[/InvokeTrustScanner]
Parameterar
| Parameter | Beskrivning |
|---|---|
<TrustingDomainName> |
Anger namnet på den betrodda domänen. |
/domain:<TrustedDomainName> |
Anger namnet på den betrodda domänen eller icke-Windows-sfären. Om det inte anges används den aktuella domän som den aktuella datorn tillhör. |
/userd:<User> |
Anger det användarkonto som ska användas för anslutningen till den domän som anges med hjälp av parametern /domain . Standardvärdet är det aktuella användarkontot om det inte anges. |
/passwordd:<Password> | * |
Anger lösenordet för användarkontot som används med /userd. Använd * för att fråga efter lösenordet. |
/usero:<User> |
Anger det användarkonto som ska användas för anslutningen till den betrodda domänen. Standardvärdet är det aktuella användarkontot om det inte anges. |
/passwordo:<Password> | * |
Anger lösenordet för användarkontot som används med /usero. Använd * för att fråga efter lösenordet. |
/verify |
Verifierar säkerhetskanalhemligheterna för en specifik förtroenderelation. |
/reset |
Återställer förtroendehemligheten mellan betrodda domäner eller mellan domänkontrollanten (DC) och arbetsstationen. |
/passwordt:<NewRealmTrustPassword> |
Anger ett nytt förtroendelösenord. Det här alternativet är endast giltigt med parametrarna /add eller /reset och endast om en av de angivna domänerna är en Kerberos-sfär som inte är windows. Förtroendelösenordet är endast konfigurerat på Windows-domänen, så autentiseringsuppgifter för domänen som inte är Windows krävs inte. |
/add |
Skapar ett förtroende. |
/remove |
Tar bort ett förtroende. |
/twoway |
Upprättar en dubbelriktad förtroenderelation. |
/realm |
Skapar förtroende för en Kerberos-sfär som inte är windowsbaserad. Endast giltigt med parametern /add . Parametern /passwordt krävs. |
/kerberos |
Använder Kerberos-protokollet för att verifiera autentiseringen mellan en arbetsstation och den angivna domänen. Kräver autentiseringsuppgifter för både käll- och måldomänerna. |
/transitive:Yes | No |
Gäller endast för kerberos-sfärförtroenden som inte är windowsbaserade. Använd yes för att göra förtroendet transitivt eller no för att göra det icke-transitivt. Om det inte anges visar den aktuella transitivitetsinställningen. |
/oneside:trusted | trusting |
Anger att förtroendeåtgärden endast ska utföras på ena sidan av förtroenderelationen. Använd trusted för att tillämpa åtgärden på den domän som anges med parametern /domain (den "betrodda" domänen) eller använd trusting för att tillämpa den på domänen "förtroende". Det här alternativet är endast giltigt med parametrarna /add och /remove . När den används med /addkrävs även parametern /passwordt . - Betrodd domän: Det här är den domän som är betrodd. I en förtroenderelation tillåter den betrodda domänen användare från den betrodda domänen att komma åt dess resurser. Den betrodda domänens användare får vissa behörigheter eller åtkomst inom den betrodda domänen. - Betrodd domän: Det här är domänen som litar på en annan domän (den betrodda domänen). Det innebär i princip att den betrodda domänen utökar sitt förtroende till användarna av den betrodda domänen, vilket ger dem åtkomst till resurser inom den betrodda domänen. |
/force |
Tar bort både det betrodda domänobjektet och korsreferensobjektet från skogen. Det fullständiga DNS-namnet måste anges för domänen. Giltigt med parametern /remove och om det anges tas en underordnad domän bort. |
/quarantine:Yes | No |
Anger eller rensar domänens karantänattribut. Om det inte anges visas det aktuella tillståndet.
Yes accepterar endast SID:er från den direkt betrodda domänen.
No accepterar alla SID (standard). Om du anger /quarantine utan ett alternativ visas aktuellt tillstånd. |
/namesuffixes:<TrustName> |
Visar en lista över suffixen för dirigerat namn för det angivna förtroendet. Den här parametern är endast giltig för ett skogsförtroende eller ett skogstransitivt icke-Windows-sfärförtroende. Använd /usero och /passwordo för autentisering om det behövs. Parametern /domain krävs inte för den här åtgärden. |
/togglesuffix:# |
Använd den här parametern med /namesuffixes för att aktivera eller inaktivera ett specifikt namnsuffix. Ange numret på namnposten som visas i utdata från föregående /namesuffixes kommando. Du kan inte ändra status för namn som är i konflikt förrän det motstridiga namnet i det andra förtroendet har inaktiverats. Kör /namesuffixes alltid omedelbart innan /togglesuffix eftersom ordningen på namnposter kan ändras. |
/enablesidhistory:Yes | No |
Aktiverar (Yes) eller inaktiverar (No) migrerade användare i den betrodda skogen för att använda SID-historik för att komma åt resurser. Gäller endast för utgående skogsförtroenden. Aktivera endast om du litar på administratörerna i den betrodda skogen. Om ett alternativ inte har angetts visas det aktuella tillståndet. |
/foresttransitive:Yes | No |
Markerar förtroendet som skogtransitivt (ja) eller inte (nej). Endast giltigt för AD-förtroenden och icke-Windows-sfärförtroenden på rotdomänen för en skog. Om det inte anges visas det aktuella tillståndet. |
/selectiveauth:Yes | No |
Aktiverar (Yes) eller inaktiverar (No) selektiv autentisering i hela förtroendet. Gäller endast för utgående skog och externa förtroenden. Om det inte anges visas det aktuella tillståndet. |
/addtln:<TopLevelName> |
Lägger till det angivna dns-namnsuffixet på den högsta nivån i skogsförtroendeinformationen för förtroendet. Gäller endast för ett skogstransitivt icke-Windows-sfärförtroende och endast på rotdomänen för en skog. Kör /namesuffixes för en lista med namnsuffix. |
/addtlnex:<TopLevelNameExclusion> |
Lägger till det angivna namnundantag på den översta nivån (DNS-namnsuffix) i skogens förtroendeinformation för förtroendet. Gäller endast för ett skogstransitivt icke-Windows-sfärförtroende och endast på rotdomänen för en skog. Kör /namesuffixes för en lista med namnsuffix. |
/removetln:<TopLevelName> |
Tar bort det angivna dns-namnsuffixet på den översta nivån från skogsförtroendeinformationen för förtroendet. Gäller endast för ett skogstransitivt icke-Windows-sfärförtroende och endast på rotdomänen för en skog. Kör /namesuffixes för en lista med namnsuffix. |
/removetlnex:<TopLevelNameExclusion> |
Tar bort det angivna namnundantag på den översta nivån (DNS-namnsuffix) från skogsförtroendeinformationen för förtroendet. Gäller endast för ett skogstransitivt icke-Windows-sfärförtroende och endast på rotdomänen för en skog. Kör /namesuffixes för en lista med namnsuffix. |
/securepasswordprompt |
Öppnar ett popup-fönster för säkra autentiseringsuppgifter för att ange autentiseringsuppgifter. Detta är användbart när du anger autentiseringsuppgifter för smartkort. Det här alternativet gäller endast när lösenordet anges som *. |
/enabletgtdelegation:Yes | No |
Aktiverar (Yes) eller inaktiverar (No) fullständig Kerberos-delegering för utgående skogsförtroenden. När den är inställd Nopå blockeras fullständig Kerberos-delegering, vilket förhindrar att tjänster i den andra skogen tar emot vidarebefordrade biljettbeviljande biljetter (TGT). Om du inaktiverar det här alternativet kan tjänster i den andra skogen som konfigurerats för "Lita på den här datorn/användaren för delegering till alla tjänster" inte använda Kerberos fullständiga delegering med något konto i den här skogen. |
/enablepimtrust:Yes | No |
Aktiverar (Yes) eller inaktiverar (No) PIM-förtroendebeteenden (Privileged Identity Management) för det här förtroendet. Förtroendet måste markeras som skogtransitivt innan det här attributet aktiveras. Om /enablepimtrust anges utan Yes eller Novisas det aktuella tillståndet för det här attributet. |
/authtargetvalidation:Yes | No |
Aktiverar (Yes) eller inaktiverar (No) verifiering av autentiseringsmål för autentiseringsbegäranden på det angivna förtroendet. För skogsförtroenden kan du begränsa den här inställningen till en specifik underordnad domän med hjälp av parametern /childdomain . Om du inaktiverar den här valideringen kan din miljö utsättas för säkerhetsrisker från fjärrskogen och bör endast göras när det behövs. |
/childdomain:<ChildDomainName> |
Använd för att rikta in sig på en underordnad domän inom en större domänstruktur när du utför förtroenderelaterade åtgärder för att säkerställa att förtroendeåtgärden gäller direkt för den underordnade domänen. Den här parametern är användbar i scenarier där exakt kontroll över förtroenderelationer krävs i komplexa domänmiljöer. |
/invoketrustscanner |
Initierar en säkerhetsgenomsökning för den angivna betrodda domänen. Om den betrodda domänen är inställd på *genomsöks alla förtroenden. Det här kommandot måste köras lokalt på den primära domänkontrollanten. Säkerhetsskannern körs vanligtvis automatiskt. Använd endast det här kommandot i felsöknings- eller supportsyfte. |
help | /? |
Visar hjälp i kommandotolken. |
Exempel
Kör följande kommando för att ange domänen USA-Chicago att lita på domänen NorthAmerica:
netdom trust USA-Chicago /domain:NorthAmerica /add /userd:NorthAmerica\admin /passwordd:* /usero:USA-Chicago\admin /passwordo:*
Kör följande kommando för att upprätta ett dubbelriktad förtroende mellan engineering.contoso.com-domänen och domänen marketing.contoso.com :
netdom trust engineering.contoso.com /domain:marketing.contoso.com /add /twoway /usero:admin@engineering.contoso.com /passwordo:* /userd:admin@marketing.contoso.com /passwordd:*
Kör följande kommando för att upprätta ett enkelriktad förtroende där NorthAmerica-domänen litar på ATHENA för icke-Windows Kerberos-sfären:
netdom trust NorthAmerica /domain:ATHENA /add /passwordt:* /realm
Anmärkning
För att verifiera en specifik förtroenderelation krävs autentiseringsuppgifter såvida inte användaren har domänadministratörsbehörighet på båda domänerna.
Om du vill ställa in Kerberos-sfären ATHENA att lita på NorthAmerica-domänen kör du följande kommando:
netdom trust NorthAmerica /domain:ATHENA /add /realm
Om du vill ångra (ta bort) det förtroende som USA-Chicago har med NorthAmerica kör du följande kommando:
netdom trust USA-Chicago /domain:NorthAmerica /remove
Om du vill återställa den säkra kanalen för enkelriktat förtroende mellan NorthAmerica och USA-Chicago kör du följande kommando:
netdom trust USA-Chicago /domain:NorthAmerica /userd:NorthAmerica\admin /passwordd:* /reset
Kontrollera att förtroenderelationen mellan MyDomain-domänen och den devgroup.example.com domänen stöder Kerberos-autentisering genom att köra följande kommando:
netdom trust MyDomain /domain:devgroup.example.com /verify /kerberos /userd:devgroup\admin /passwordd:* /usero:MyDomain\admin /passwordo:*
Anmärkning
Du kan inte köra den här förtroendeåtgärden från en fjärrplats. Du måste köra åtgärden på den arbetsstation som du vill testa.
Om du vill aktivera eller inaktivera det första suffixet för dirigerat namn i listan som genererades av föregående kommando kör du följande kommando:
netdom trust myTestDomain /domain:foresttrustpartnerdomain /namesuffixes /togglesuffix:1
Du kan bara lägga till ett DNS-namnsuffix för ett förtroende som är ett skogstransitivt icke-Windows-sfärförtroende. Samma begränsning gäller för parametrarna för hantering av namnsuffixroutning i ett skogsförtroende:
/addtln/addtlnex/removetln/removetlnex