此命令 netdom trust 允许管理员管理、建立、验证或重置域之间的信任关系。 如果安装了 Active Directory 域服务(AD DS)服务器角色,则可以使用它。 如果安装属于远程服务器管理工具(RSAT)的 AD DS 工具,也可用。 有关详细信息,请参阅 如何在本地和远程管理 Microsoft Windows 客户端和服务器计算机。
若要使用 netdom trust,必须从提升的命令提示符运行该命令。
Note
netdom trust该命令不能用于在两个 AD DS 林之间创建林信任。 若要在两个 AD DS 林之间创建跨林信任,请使用 Active Directory 域和信任 管理单元创建和管理林信任。 如果需要自动执行该过程,还可以使用 PowerShell 等脚本解决方案来管理这些类型的信任。
Syntax
netdom trust trusting_domain_name /Domain:trusted_domain_name [/UserD:user]
[/PasswordD:[password | *]] [/UserO:user] [/PasswordO:[password | *]]
[/Verify] [/Reset] [/PasswordT:new_realm_trust_password]
[/Add] [/Remove] [/Twoway] [/Realm] [/Kerberos]
[/Transitive[:{yes | no}]]
[/OneSide:{trusted | trusting}] [/Force] [/Quarantine[:{yes | no}]]
[/NameSuffixes:trust_name [/ToggleSuffix:#]]
[/EnableSIDHistory[:{yes | no}]] [/ForestTransitive[:{yes | no}]]
[/CrossOrganization[:{yes | no}]] [/AddTLN:TopLevelName]
[/AddTLNEX:TopLevelNameExclusion] [/RemoveTLN:TopLevelName]
[/RemoveTLNEX:TopLevelNameExclusion] [/SecurePasswordPrompt]
[/EnableTgtDelegation[:{yes | no}]] [/EnablePIMTrust[:{yes | no}]]
[/AuthTargetValidation[:{yes | no}]] [/ChildDomain:childdomainname]
[/InvokeTrustScanner]
Parameters
| Parameter | Description |
|---|---|
<TrustingDomainName> |
指定信任域的名称。 |
/domain:<TrustedDomainName> |
指定受信任的域或非 Windows 领域的名称。 如果未指定,则使用当前计算机所属的当前域。 |
/userd:<User> |
指定要用于与使用 /domain 参数指定的域建立连接的用户帐户。 如果未指定,则默认为当前用户帐户。 |
/passwordd:<Password> | * |
指定用于 /userd. 的用户帐户的密码。 用于 * 提示输入密码。 |
/usero:<User> |
指定要用于与信任域的连接的用户帐户。 如果未指定,则默认为当前用户帐户。 |
/passwordo:<Password> | * |
指定用于 /usero. 的用户帐户的密码。 用于 * 提示输入密码。 |
/verify |
验证特定信任关系的安全通道机密。 |
/reset |
重置受信任域之间的信任机密或域控制器(DC)与工作站之间的信任机密。 |
/passwordt:<NewRealmTrustPassword> |
设置新的信任密码。 此选项仅对 /add 或 /reset 参数有效,并且仅当其中一个指定域是非 Windows Kerberos 领域时才有效。 信任密码仅在 Windows 域中配置,因此不需要非 Windows 域的凭据。 |
/add |
创建信任。 |
/remove |
删除信任。 |
/twoway |
建立双向信任关系。 |
/realm |
为非 Windows Kerberos 领域创建信任。 仅对 /add 参数有效。
/passwordt 参数是必需的。 |
/kerberos |
使用 Kerberos 协议验证工作站和指定域之间的身份验证。 需要源域和目标域的凭据。 |
/transitive:Yes | No |
仅适用于非 Windows Kerberos 领域信任。 用于 yes 使信任可传递,或 no 使其不可传递。 如果未指定,则显示当前的可传递性设置。 |
/oneside:trusted | trusting |
指定只应在信任关系的一端执行信任作。 用于 trusted 将作应用于使用 /domain 参数(“受信任”域)指定的域,或者用于 trusting 将其应用于“信任”域。 此选项仅对参数/add/remove有效。 与该参数一起使用 /add时,还需要此参数 /passwordt 。 - 受信任域:这是受信任的域。 在信任关系中,信任域允许用户从受信任的域访问其资源。 受信任的域的用户在信任域中获得某些权限或访问权限。 - 信任域:这是信任另一个域(受信任域)的域。 它实质上意味着,信任域正在将其信任扩展到受信任域的用户,从而允许他们访问信任域中的资源。 |
/force |
从林中删除受信任的域对象和交叉引用对象。 必须为域指定完整的 DNS 名称。 对 /remove 参数有效,如果已指定,则删除子域。 |
/quarantine:Yes | No |
设置或清除域隔离属性。 如果未指定,则显示当前状态。
Yes 仅接受来自直接受信任域的 SID。
No 接受任何 SID(默认值)。 在没有 /quarantine 选项的情况下指定将显示当前状态。 |
/namesuffixes:<TrustName> |
列出指定信任的路由名称后缀。 此参数仅适用于林信任或林可传递的非 Windows 领域信任。 根据需要使用 /usero 和 /passwordo 进行身份验证。 此作不需要该 /domain 参数。 |
/togglesuffix:# |
将此参数用于 /namesuffixes 启用或禁用特定名称后缀。 指定名称项的数目,如上述 /namesuffixes 命令的输出所示。 在禁用其他信任中的冲突名称之前,无法更改发生冲突的名称的状态。 始终立即运行 /namesuffixes , /togglesuffix 因为名称条目的顺序可能会更改。 |
/enablesidhistory:Yes | No |
启用 () 或禁用 (YesNo) 受信任林中的迁移用户以使用 SID 历史记录访问资源。 仅对出站林信任有效。 仅当信任受信任林的管理员时,才启用。 如果未指定选项,将显示当前状态。 |
/foresttransitive:Yes | No |
将信任标记为林可传递(是)或不(否)。 仅对 AD 信任和非 Windows 领域信任有效,仅在林的根域上有效。 如果未指定,则显示当前状态。 |
/selectiveauth:Yes | No |
启用 (Yes) 或禁用 (No) 跨信任的选择性身份验证。 仅在出站林和外部信任上有效。 如果未指定,则显示当前状态。 |
/addtln:<TopLevelName> |
将指定的顶级 DNS 名称后缀添加到信任的林信任信息。 仅对林可传递的非 Windows 领域信任有效,并且仅对林的根域有效。 运行 /namesuffixes 名称后缀列表。 |
/addtlnex:<TopLevelNameExclusion> |
将指定的顶级名称排除(DNS 名称后缀)添加到信任的林信任信息。 仅对林可传递的非 Windows 领域信任有效,并且仅对林的根域有效。 运行 /namesuffixes 名称后缀列表。 |
/removetln:<TopLevelName> |
从信任的林信任信息中删除指定的顶级 DNS 名称后缀。 仅对林可传递的非 Windows 领域信任有效,并且仅对林的根域有效。 运行 /namesuffixes 名称后缀列表。 |
/removetlnex:<TopLevelNameExclusion> |
从信任的林信任信息中删除指定的顶级名称排除(DNS 名称后缀)。 仅对林可传递的非 Windows 领域信任有效,并且仅对林的根域有效。 运行 /namesuffixes 名称后缀列表。 |
/securepasswordprompt |
打开用于输入凭据的安全凭据弹出窗口。 指定智能卡凭据时,这非常有用。 仅当输入密码时 *,此选项才有效。 |
/enabletgtdelegation:Yes | No |
在出站林信任上启用 (Yes) 或禁用 (No) Kerberos 完全委派。 设置为 NoKerberos 完全委派时,将阻止其他林中的服务接收转发的票证授予票证(TGT)。 禁用此选项意味着配置为“信任此计算机/用户以委派到任何服务”的其他林中的服务无法将 Kerberos 完全委派与此林中的任何帐户一起使用。 |
/enablepimtrust:Yes | No |
为此信任启用 (Yes) 或禁用 (No) Privileged Identity Management (PIM) 信任行为。 在启用此属性之前,信任必须标记为林可传递。 如果未 /enablepimtrust 指定 Yes 或 No指定此属性的当前状态,则显示此属性的当前状态。 |
/authtargetvalidation:Yes | No |
对指定信任的身份验证请求启用 (Yes) 或禁用 (No) 身份验证目标验证。 对于林信任,可以使用参数将此设置限制为特定的子域 /childdomain 。 禁用此验证可能会使环境面临来自远程林的安全风险,并且应仅在必要时执行。 |
/childdomain:<ChildDomainName> |
用于在执行与信任相关的作时以较大域结构中的子域为目标,以确保信任作直接应用于子域。 在复杂域环境中需要精确控制信任关系的方案中,此参数非常有用。 |
/invoketrustscanner |
为指定的信任域启动信任扫描。 如果信任域设置为 *,则会扫描所有信任。 必须在主 DC 上本地执行此命令。 信任扫描程序通常会自动运行。 仅出于故障排除或支持目的使用此命令。 |
help | /? |
在命令提示符下显示帮助。 |
Examples
要将域 USA-Chicago 设置为信任域 NorthAmerica,请运行以下命令:
netdom trust USA-Chicago /domain:NorthAmerica /add /userd:NorthAmerica\admin /passwordd:* /usero:USA-Chicago\admin /passwordo:*
若要在 engineering.contoso.com 域和 marketing.contoso.com 域之间建立双向信任,请运行以下命令:
netdom trust engineering.contoso.com /domain:marketing.contoso.com /add /twoway /usero:admin@engineering.contoso.com /passwordo:* /userd:admin@marketing.contoso.com /passwordd:*
若要建立 北美域信任 非 Windows Kerberos 领域 ATHENA 的单向信任,请运行以下命令:
netdom trust NorthAmerica /domain:ATHENA /add /passwordt:* /realm
Note
验证特定信任关系需要凭据,除非用户对这两个域拥有域管理员权限。
如果要将 Kerberos 领域 ATHENA 设置为信任 北美 域,请运行以下命令:
netdom trust NorthAmerica /domain:ATHENA /add /realm
要撤消(删除) USA-Chicago 与 NorthAmerica 的信任,请运行以下命令:
netdom trust USA-Chicago /domain:NorthAmerica /remove
要重置 北美 和 美国-芝加哥之间的单向信任的安全通道,请运行以下命令:
netdom trust USA-Chicago /domain:NorthAmerica /userd:NorthAmerica\admin /passwordd:* /reset
若要验证 MyDomain 域与 devgroup.example.com 域之间的信任关系是否支持 Kerberos 身份验证,请运行以下命令:
netdom trust MyDomain /domain:devgroup.example.com /verify /kerberos /userd:devgroup\admin /passwordd:* /usero:MyDomain\admin /passwordo:*
Note
无法从远程位置运行此信任作。 必须在要测试的工作站上运行该作。
若要启用或禁用上一命令生成的列表中的第一个路由名称后缀,请运行以下命令:
netdom trust myTestDomain /domain:foresttrustpartnerdomain /namesuffixes /togglesuffix:1
只能为作为林可传递的非 Windows 领域信任的信任添加 DNS 名称后缀。 相同的限制适用于管理林信任中的名称后缀路由的参数:
/addtln/addtlnex/removetln/removetlnex