Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
komutu, yöneticilerin netdom trust etki alanları arasındaki güven ilişkilerini yönetmesine, kurmasına, doğrulamasına veya sıfırlamasına olanak tanır. Active Directory Etki Alanı Hizmetleri (AD DS) sunucu rolünüz yüklüyse kullanılabilir. Ayrıca, Uzak Sunucu Yönetim Araçları'nın (RSAT) parçası olan AD DS araçlarını yüklerseniz de kullanılabilir. Daha fazla bilgi için bkz. Microsoft Windows İstemci ve Sunucu Bilgisayarlarını Yerel ve Uzaktan Yönetme.
kullanmak netdom trustiçin komutunu yükseltilmiş bir komut isteminden çalıştırmanız gerekir.
Uyarı
komutu netdom trust , iki AD DS ormanı arasında orman güveni oluşturmak için kullanılamaz. İki AD DS ormanı arasında ormanlar arası güven oluşturmak için, orman güvenleri oluşturmak ve yönetmek için Active Directory Etki Alanları ve Güvenleri ek bileşenini kullanın. PowerShell kullanma gibi betik oluşturma çözümü, işlemi otomatikleştirmeniz gerekiyorsa bu tür güvenleri yönetmek için de bir seçenektir.
Sözdizimi
netdom trust trusting_domain_name /Domain:trusted_domain_name [/UserD:user]
[/PasswordD:[password | *]] [/UserO:user] [/PasswordO:[password | *]]
[/Verify] [/Reset] [/PasswordT:new_realm_trust_password]
[/Add] [/Remove] [/Twoway] [/Realm] [/Kerberos]
[/Transitive[:{yes | no}]]
[/OneSide:{trusted | trusting}] [/Force] [/Quarantine[:{yes | no}]]
[/NameSuffixes:trust_name [/ToggleSuffix:#]]
[/EnableSIDHistory[:{yes | no}]] [/ForestTransitive[:{yes | no}]]
[/CrossOrganization[:{yes | no}]] [/AddTLN:TopLevelName]
[/AddTLNEX:TopLevelNameExclusion] [/RemoveTLN:TopLevelName]
[/RemoveTLNEX:TopLevelNameExclusion] [/SecurePasswordPrompt]
[/EnableTgtDelegation[:{yes | no}]] [/EnablePIMTrust[:{yes | no}]]
[/AuthTargetValidation[:{yes | no}]] [/ChildDomain:childdomainname]
[/InvokeTrustScanner]
Parametreler
| Parametre | Açıklama |
|---|---|
<TrustingDomainName> |
Güvenen etki alanının adını belirtir. |
/domain:<TrustedDomainName> |
Güvenilen etki alanının veya Windows dışı alanın adını belirtir. Belirtilmezse, geçerli bilgisayarın ait olduğu geçerli etki alanı kullanılır. |
/userd:<User> |
parametresi kullanılarak /domain belirtilen etki alanıyla bağlantı için kullanılacak kullanıcı hesabını belirtir. Belirtilmezse varsayılan olarak geçerli kullanıcı hesabını kullanır. |
/passwordd:<Password> | * |
ile /userdkullanılan kullanıcı hesabının parolasını belirtir. Parolayı istemde bulunarak kullanın * . |
/usero:<User> |
Güvenen etki alanıyla bağlantı için kullanılacak kullanıcı hesabını belirtir. Belirtilmezse varsayılan olarak geçerli kullanıcı hesabını kullanır. |
/passwordo:<Password> | * |
ile /userokullanılan kullanıcı hesabının parolasını belirtir. Parolayı istemde bulunarak kullanın * . |
/verify |
Belirli bir güven ilişkisi için güvenli kanal gizli dizilerini doğrular. |
/reset |
Güvenilen etki alanları arasındaki veya etki alanı denetleyicisi (DC) ile iş istasyonu arasındaki güven gizli dizisini sıfırlar. |
/passwordt:<NewRealmTrustPassword> |
Yeni bir güven parolası ayarlar. Bu seçenek yalnızca veya /add parametreleriyle /reset geçerlidir ve yalnızca belirtilen etki alanlarından biri Windows dışı bir Kerberos bölgesiyse geçerlidir. Güven parolası yalnızca Windows etki alanında yapılandırıldığından, Windows dışı etki alanı için kimlik bilgileri gerekli değildir. |
/add |
Bir güven oluşturur. |
/remove |
Güveni kaldırır. |
/twoway |
İki yönlü bir güven ilişkisi kurar. |
/realm |
Windows olmayan bir Kerberos bölgesi için güven oluşturur. Yalnızca parametresiyle /add geçerlidir.
/passwordt parametresi gereklidir. |
/kerberos |
Bir iş istasyonu ile belirtilen etki alanı arasında kimlik doğrulamasını doğrulamak için Kerberos protokolunu kullanır. Hem kaynak hem de hedef etki alanları için kimlik bilgileri gerektirir. |
/transitive:Yes | No |
Yalnızca Windows dışı Kerberos bölgesi güvenleri için geçerlidir. Güveni geçişli hale getirmek veya yes geçişsiz hale getirmek için kullanınno. Belirtilmezse geçerli geçiş ayarını görüntüler. |
/oneside:trusted | trusting |
Güven işleminin güven ilişkisinin yalnızca bir tarafında yürütülmesi gerektiğini belirtir.
trusted işlemi parametresiyle /domain belirtilen etki alanına ("güvenilen" etki alanı) uygulamak için kullanın veya "güvenen" etki alanına uygulamak için kullanıntrusting. Bu seçenek yalnızca ve /add parametreleriyle /remove geçerlidir. ile /add/passwordt kullanıldığında parametresi de gereklidir. - Güvenilen Etki Alanı: Bu, güvenilen etki alanıdır. Güven ilişkisinde güvenen etki alanı, güvenilen etki alanındaki kullanıcıların kaynaklarına erişmesine izin verir. Güvenilen etki alanının kullanıcılarına güvenen etki alanı içinde belirli izinler veya erişim verilir. - Güvenen Etki Alanı: Bu, başka bir etki alanına (güvenilen etki alanı) güvenen etki alanıdır. Temel olarak, güvenen etki alanının güvenini güvenilen etki alanının kullanıcılarına genişleterek güvenen etki alanı içindeki kaynaklara erişmesine izin verdiği anlamına gelir. |
/force |
Hem güvenilen etki alanı nesnesini hem de çapraz başvuru nesnesini ormandan kaldırır. Etki alanı için tam DNS adı belirtilmelidir. parametresiyle /remove geçerlidir ve belirtilirse bir alt etki alanı kaldırılır. |
/quarantine:Yes | No |
Etki alanı karantina özniteliğini ayarlar veya temizler. Belirtilmezse geçerli durumu görüntüler.
Yes yalnızca doğrudan güvenilen etki alanındaki SID'leri kabul eder.
No tüm SID'leri kabul eder (varsayılan). Seçenek olmadan belirtilmesi /quarantine geçerli durumu görüntüler. |
/namesuffixes:<TrustName> |
Belirtilen güven için yönlendirilmiş ad soneklerini listeler. Bu parametre yalnızca bir orman güveni veya Windows dışı orman geçişli bir bölge güveni için geçerlidir. Gerekirse kimlik doğrulaması için ve /usero kullanın/passwordo. Bu /domain işlem için parametresi gerekli değildir. |
/togglesuffix:# |
Belirli bir ad sonekini etkinleştirmek veya devre dışı bırakmak için ile bu parametreyi /namesuffixes kullanın. Önceki /namesuffixes komutun çıkışında gösterildiği gibi ad girdisinin sayısını belirtin. Diğer güvendeki çakışan ad devre dışı bırakılana kadar çakışan adların durumunu değiştiremezsiniz. Ad girdilerinin sırası değişebileceğinden her zaman hemen önce /namesuffixes çalıştırın/togglesuffix. |
/enablesidhistory:Yes | No |
Kaynaklara erişmek için SID geçmişini kullanmak için güvenilen ormanda geçirilen kullanıcıları etkinleştirir (Yes) veya devre dışı bırakır (No). Yalnızca giden orman güvenleri için geçerlidir. Yalnızca güvenilen ormanın yöneticilerine güveniyorsanız etkinleştirin. Bir seçenek belirtilmezse geçerli durum görüntülenir. |
/foresttransitive:Yes | No |
Güveni orman geçişli (evet) veya değil (hayır) olarak işaretler. Yalnızca AD güvenleri ve Windows dışı bölge güvenleri için yalnızca bir ormanın kök etki alanında geçerlidir. Belirtilmezse geçerli durumu görüntüler. |
/selectiveauth:Yes | No |
Güven genelinde seçmeli kimlik doğrulamasını etkinleştirir (YesNo) veya devre dışı bırakır (). Yalnızca giden ormanda ve dış güvenlerde geçerlidir. Belirtilmezse geçerli durumu görüntüler. |
/addtln:<TopLevelName> |
Belirtilen en üst düzey DNS adı son ekini güven için orman güven bilgilerine ekler. Yalnızca orman geçişli Windows dışı bir bölge güveni için ve yalnızca bir orman için kök etki alanında geçerlidir. Ad sonekleri listesi için komutunu çalıştırın /namesuffixes . |
/addtlnex:<TopLevelNameExclusion> |
Belirtilen en üst düzey ad dışlamasını (DNS adı son eki) güven için orman güven bilgilerine ekler. Yalnızca orman geçişli Windows dışı bir bölge güveni için ve yalnızca bir orman için kök etki alanında geçerlidir. Ad sonekleri listesi için komutunu çalıştırın /namesuffixes . |
/removetln:<TopLevelName> |
Belirtilen en üst düzey DNS adı sonekini güven için orman güven bilgilerinden kaldırır. Yalnızca orman geçişli Windows dışı bir bölge güveni için ve yalnızca bir orman için kök etki alanında geçerlidir. Ad sonekleri listesi için komutunu çalıştırın /namesuffixes . |
/removetlnex:<TopLevelNameExclusion> |
Güven için orman güven bilgilerinden belirtilen en üst düzey ad dışlamasını (DNS adı son eki) kaldırır. Yalnızca orman geçişli Windows dışı bir bölge güveni için ve yalnızca bir orman için kök etki alanında geçerlidir. Ad sonekleri listesi için komutunu çalıştırın /namesuffixes . |
/securepasswordprompt |
Kimlik bilgilerini girmek için güvenli bir kimlik bilgileri açılır penceresini açar. Bu, akıllı kart kimlik bilgileri belirtilirken kullanışlıdır. Bu seçenek yalnızca parola olarak *girildiğinde geçerlidir. |
/enabletgtdelegation:Yes | No |
Giden orman güvenlerinde Kerberos tam temsili etkinleştirir (Yes) veya devre dışı bırakır (No). olarak Noayarlandığında, Kerberos tam temsili engellenir ve diğer ormandaki hizmetlerin iletilen Bilet Verme Biletlerini (TGT) almasını engeller. Bu seçeneği devre dışı bırakmak, "Bu bilgisayara/kullanıcıya herhangi bir hizmete temsilci seçme için güven" için yapılandırılmış diğer ormandaki hizmetlerin bu ormandaki herhangi bir hesapla Kerberos tam temsilci kullanamayacağı anlamına gelir. |
/enablepimtrust:Yes | No |
Bu güven için Privileged Identity Management (PIM) güven davranışlarını etkinleştirir (Yes) veya devre dışı bırakırNo. Bu öznitelik etkinleştirilmeden önce güven orman geçişli olarak işaretlenmelidir. veya /enablepimtrustolmadan Yes belirtilirseNo, bu özniteliğin geçerli durumu görüntülenir. |
/authtargetvalidation:Yes | No |
Belirtilen güvendeki kimlik doğrulama istekleri için kimlik doğrulaması hedef doğrulamasını etkinleştirir (Yes) veya devre dışı bırakır (No). Orman güvenleri için parametresini kullanarak bu ayarı belirli bir alt etki alanıyla /childdomain sınırlayabilirsiniz. Bu doğrulamayı devre dışı bırakmak ortamınızı uzak ormandaki güvenlik risklerine maruz bırakabilir ve yalnızca gerektiğinde yapılmalıdır. |
/childdomain:<ChildDomainName> |
Güven işleminin doğrudan alt etki alanına uygulandığından emin olmak için güvenle ilgili işlemler gerçekleştirirken daha büyük bir etki alanı yapısı içinde alt etki alanını hedeflemek için kullanın. Bu parametre, karmaşık etki alanı ortamlarında güven ilişkileri üzerinde hassas denetime ihtiyaç duyulan senaryolarda kullanışlıdır. |
/invoketrustscanner |
Belirtilen güvenen etki alanı için bir güven taraması başlatır. Güvenen etki alanı olarak *ayarlanırsa, tüm güvenler taranır. Bu komut birincil DC'de yerel olarak yürütülmelidir. Güven tarayıcısı genellikle otomatik olarak çalışır. Bu komutu yalnızca sorun giderme veya destek amacıyla kullanın. |
help | /? |
Komut isteminde yardım görüntülenir. |
Örnekler
USA-Chicago etki alanını NorthAmerica etki alanına güvenecek şekilde ayarlamak için aşağıdaki komutu çalıştırın:
netdom trust USA-Chicago /domain:NorthAmerica /add /userd:NorthAmerica\admin /passwordd:* /usero:USA-Chicago\admin /passwordo:*
engineering.contoso.com etki alanı ile marketing.contoso.cometki alanı arasında iki yönlü güven oluşturmak için aşağıdaki komutu çalıştırın:
netdom trust engineering.contoso.com /domain:marketing.contoso.com /add /twoway /usero:admin@engineering.contoso.com /passwordo:* /userd:admin@marketing.contoso.com /passwordd:*
NorthAmerica etki alanının Windows dışı Kerberos bölgesi ATHENA'ya güvendiği tek yönlü bir güven oluşturmak için aşağıdaki komutu çalıştırın:
netdom trust NorthAmerica /domain:ATHENA /add /passwordt:* /realm
Uyarı
Belirli bir güven ilişkisinin doğrulanması, kullanıcının her iki etki alanında da etki alanı yöneticisi ayrıcalıklarına sahip olmadığı sürece kimlik bilgileri gerektirir.
Kerberos bölgesi ATHENA'sınıNorthAmerica etki alanına güvenecek şekilde ayarlamak istiyorsanız aşağıdaki komutu çalıştırın:
netdom trust NorthAmerica /domain:ATHENA /add /realm
USA-Chicago'nunNorthAmerica ile olan güvenini geri almak (kaldırmak) için aşağıdaki komutu çalıştırın:
netdom trust USA-Chicago /domain:NorthAmerica /remove
NorthAmerica ile USA-Chicago arasındaki tek yönlü güvenin güvenli kanalını sıfırlamak için aşağıdaki komutu çalıştırın:
netdom trust USA-Chicago /domain:NorthAmerica /userd:NorthAmerica\admin /passwordd:* /reset
MyDomain etki alanı ile devgroup.example.com etki alanı arasındaki güven ilişkisinin Kerberos kimlik doğrulamasını desteklediğini doğrulamak için aşağıdaki komutu çalıştırın:
netdom trust MyDomain /domain:devgroup.example.com /verify /kerberos /userd:devgroup\admin /passwordd:* /usero:MyDomain\admin /passwordo:*
Uyarı
Bu güven işlemini uzak bir konumdan çalıştıramazsınız. İşlemi test etmek istediğiniz iş istasyonunda çalıştırmanız gerekir.
Önceki komut tarafından oluşturulan listedeki ilk yönlendirilmiş ad sonekini etkinleştirmek veya devre dışı bırakmak için aşağıdaki komutu çalıştırın:
netdom trust myTestDomain /domain:foresttrustpartnerdomain /namesuffixes /togglesuffix:1
Yalnızca orman geçişli Windows dışı bir bölge güveni olan bir güven için DNS adı soneki ekleyebilirsiniz. Aynı kısıtlama, orman güveni içinde ad soneki yönlendirmesini yönetme parametreleri için de geçerlidir:
/addtln/addtlnex/removetln/removetlnex