Gli amministratori IT lavorano con e intorno a Active Directory dalla presentazione della tecnologia in Windows 2000 Server. Windows 2000 Server è stato rilasciato il 17 febbraio 2000, ma molti amministratori hanno iniziato a lavorare con Active Directory già alla fine del 1999, quando fu rilasciato per la produzione (RTM) il 15 dicembre 1999.
Cos'è Trust in AD?
Una trust è una relazione tra foreste e/o domini.
In una foresta AD, tutti i domini si fidano reciprocamente perché viene creato un two way transitive trust quando ogni dominio viene aggiunto. Questo consente all'autenticazione di passare da un dominio a qualsiasi altro dominio nella stessa foresta.
È possibile creare trusts outside of the forest anche con altre foreste e domini AD DS o regni Kerberos v5.
Ai tempi di Windows NT 4.0, non esisteva una foresta o una struttura gerarchica. Se avevi più domini, dovevi creare manualmente trust tra di loro. Con Active Directory, hai automaticamente trust transitivi bidirezionali tra domini nella stessa foresta. Ai tempi di Windows NT 4.0, dovevi usare anche NetBIOS per stabilire i trust!
Fortunatamente, siamo andati avanti e ora abbiamo funzionalità aggiuntive di fiducia, specialmente per quanto riguarda la securing trusts con autenticazione selettiva e filtraggio SID.
Ogni trust in un dominio è memorizzato come un oggetto trustedDomain object (TDO) nel System container. Pertanto, per trovare ed elencare tutti i trust e i tipi di trust in un dominio chiamato contoso.com, eseguire il comando Get-ADObject –SearchBase “cn=system,dc=contoso,dc=com” –Filter * -Properties trustType | where {$_.objectClass –eq “trustedDomain”} | select Name,trustType di Windows PowerShell command.
Ci sono 4 valori validi per l'attributo trustType. Tuttavia, solo il valore 1 (che indica un trust con un dominio NT) e il valore 2 (che indica un trust con un dominio Active Directory) sono comuni. Ci sono molte altre informazioni utili sui trust memorizzate nell'oggetto trustedDomain.
In un dominio chiamato contoso.com, esegui il comando Get-ADObject –SearchBase “cn=system,dc=contoso,dc=com” –Filter * -Properties * | where {$_.objectClass –eq “trustedDomain”} | FL di Windows PowerShell per esaminare tutte le trust properties.
Puoi anche visualizzare molte delle proprietà principali di un trust eseguendo il comando Get-ADTrust –Filter *.
Proprietà di fiducia
La tabella sottostante mostra le trust properties e una descrizione di ogni proprietà.
Proprietà fiduciaria | Descrizione della proprietà |
|---|---|
|
Direzione |
I valori validi sono bidirezionale, in entrata o in uscita. Nota che la direzione è relativa al dominio in cui stai eseguendo la query. |
|
DisallowTransivity |
Credo che questo sia un errore di battitura di Microsoft poiché dovrebbe realmente essere “DisallowTransitivity”. Questo può essere impostato su True o False a seconda che la fiducia neghi la transitività. |
|
DistinguishedName |
Il DN dell'oggetto dominio fidato. |
|
ForestTransitive |
Questo è impostato su True quando un trust di foresta è transitivo e su False quando un trust di foresta non è transitivo. |
|
IntraForest |
Questo è impostato su True quando esiste un trust tra domini nella stessa foresta o impostato su False quando il trust è tra domini in foreste diverse. |
|
IsTreeParent |
I valori validi sono True e False. |
|
IsTreeRoot |
|
|
Nome |
Il nome del dominio che fa parte del trust, non il dominio in cui viene eseguita la query. |
|
ObjectClass |
Questo è impostato su trustedDomain per i trust. |
|
ObjectGUID |
Identificatore univoco globale per il trust. Un esempio è de207451-51ed-44cd-4248-85ad9fcb2d50. |
|
SelectiveAuthentication |
Imposta su True se la fiducia è configurata per l'autenticazione selettiva o su False se non lo è. |
|
SIDFilteringForestAware |
Impostare su True se è configurata un'autenticazione selettiva per il trust della foresta |
|
SIDFilteringQuarantined |
Impostare su True quando si utilizza il filtraggio SID con messa in quarantena per un trust. Utilizzato solo per trust esterni. |
|
Fonte |
Impostato sul DN della radice di fiducia. In una fiducia forestale, il DN del dominio radice della foresta è la fonte. |
|
Obiettivo |
Impostato sul nome di dominio dell'altra parte del trust. |
|
TGTDelegation |
Impostare su True se la delega completa Kerberos è abilitata sulle trust di foresta in uscita. Il valore predefinito è False. |
|
TrustAttributes |
Imposta su un valore numerico che indica la configurazione di fiducia. Ad esempio |
|
TrustedPolicy |
Non documentato |
|
TrustingPolicy |
Non documentato |
|
TrustType |
Impostare su Uplevel per i trust con foreste e domini Active Directory, DownLevel per i trust con domini pre-Active Directory come i domini NT 4, Kerberos realm per i trust con regni Unix/Linux. |
|
UplevelOnly |
Impostare su True se solo i sistemi operativi Windows 2000 e successivi possono utilizzare il collegamento di trust. |
|
UsesAESKeys |
Imposta su True per i trust di realm che utilizzano chiavi di crittografia AES. |
|
Utilizza la crittografia RC4 |
Impostare su True per i trust di dominio che utilizzano chiavi di crittografia RC4. |
Da un punto di vista della scalabilità, ci sono un paio di cose riguardo i trust che dovresti essere a conoscenza di:
- Numero massimo di trust per l'autenticazione Kerberos.
Se un cliente in un dominio fidato tenta di accedere a una risorsa in un dominio che si fida, il cliente non può autenticarsi se il percorso di verità ha più di 10 trust links. In ambienti con un gran numero di trust e percorsi di trust lunghi, si dovrebbe implementare trust scorciatoia per migliorare le prestazioni e garantire la funzionalità di autenticazione Kerberos.
- Le prestazioni peggiorano dopo 2.400 trust.
In ambienti molto grandi e complessi, potresti avere un numero enorme di trust. Dopo aver raggiunto i 2,400 trusts, qualsiasi trust aggiuntivo inserito nel tuo ambiente potrebbe influenzare significativamente le prestazioni rispetto ai trust, specialmente in relazione all'autenticazione.
Ulteriori informazioni sui fondamenti di Active Directory le troverai nel nostro AD tutorial for begginners.
Condividi su
Scopri di più
Informazioni sull'autore
Brian Svidergol
IT
Esperto in infrastrutture Microsoft e soluzioni basate su cloud che includono Windows, Active Directory, Azure, Microsoft Exchange, System Center, virtualizzazione e MDOP. Oltre a scrivere libri, Brian redige contenuti formativi, white paper ed è revisore tecnico su un gran numero di libri e pubblicazioni.
Scopri di più su questo argomento
Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy
Esempio di Analisi del Rischio: Come Valutare i Rischi
Il Triangolo CIA e la sua applicazione nel mondo reale
Cos'è la gestione dei documenti elettronici?
Analisi quantitativa del rischio: Aspettativa di perdita annuale