Suchen

Für mehr Sicherheit und Flexibilität: Domänen verknüpfen 10 Tipps für Vertrauensstellungen in Active Directory

| Autor / Redakteur: Thomas Joos / Dipl.-Ing. (FH) Andreas Donner

Vertrauensstellungen zwischen Domänen spielen auch in Active Directory eine wichtige Rolle. Durch Vertrauensstellungen lassen sich Domänen miteinander in Verbindung setzen, um Benutzerkonten mit Ressourcen zu verbinden. Wir geben in diesem Beitrag Tipps zur Einrichtung und Verwaltung.

Firmen zum Thema

Vertrauensstellungen zwischen Domänen ermöglichen eine granulare Zugriffsteuerung zwischen AD-Bereichen.
Vertrauensstellungen zwischen Domänen ermöglichen eine granulare Zugriffsteuerung zwischen AD-Bereichen.
(Bild: Joos)

Vertrauensstellungen ermöglichen zum Beispiel, dass Benutzerkonten einer Domäne A auf Ressourcen der Domäne B zugreifen können. Umgekehrt kann auch konfiguriert werden, dass Benutzerkonten der Domäne B nicht auf Ressourcen der Domäne A zugreifen können. Neben der einfachen Verbindung von Domänen können Vertrauensstellungen also auch für Berechtigungsstrukturen genutzt werden.

1. Transitive Vertrauensstellungen in Active Directory

In Active Directory lassen sich in Gesamtstrukturen (Forests) auch Strukturen (Trees) und untergeordnete Domänen (Child Domains) nutzen, um eine Struktur von Domänen aufzubauen. Der Vorteil beim Aufbau einer Domänenstruktur in der Art „joos.int, de.joos.int und heilbronn.de.joos.int“ besteht darin, dass auf diese Weise flexible Infrastrukturen sehr einfach aufgebaut werden können, bei denen es verschiedene Domänen, Gruppenrichtlinien und Domänen-Admins gibt.

Bildergalerie
Bildergalerie mit 5 Bildern

Gleichzeitig werden alle Domänen aber in einer gemeinsamen Gesamtstruktur betrieben. Zwischen den Domänen richtet Active Directory automatisch Vertrauensstellungen ein. Hier ist es also nicht notwendig, dass weitere Vertrauensstellungen eingerichtet werden. Zwischen den Domänen von unterschiedlichen Strukturen (Trees) werden keine Vertrauensstellungen eingerichtet. Hier lassen sich aber wiederum manuell Vertrauensstellungen einrichten.

2. Gesamtstruktur-übergreifende Vertrauensstellungen

Beim Einrichten einer Gesamtstruktur-übergreifenden Vertrauensstellung zwischen zwei Stamm-Domänen (Root) aus zwei Gesamtstrukturen, werden auch transitive Vertrauensstellungen zwischen den Domänen der beiden Gesamtstrukturen eingerichtet.

3. Vertrauensstellungen verwalten

Vertrauensstellungen werden im Snap-In „Active Directory-Domänen und Vertrauensstellungen“ verwaltet. Hier steht in den Eigenschaften von Domänen die Registerkarte „Vertrauensstellungen“ zur Verfügung. Das Snap-In kann mit „domain.msc“ aufgerufen werden.

4. Richtung von Vertrauensstellungen beachten

Vertrauensstellungen können unidirektional und bidirektional eingerichtet werden. Das ist ein wichtiger Faktor bei der richtigen Verwaltung von Vertrauensstellungen und spielt auch für die Sicherheit eine wichtige Rolle. Bei unidirektionalen Vertrauensstellungen vertraut eine Domäne A der Domäne B. Die Domäne B vertraut aber nicht Domäne A.

In der Praxis bedeutet das, die Benutzer der Domäne A können zwar auf Ressourcen der Domäne B zugreifen, aber die Benutzer in der Domäne B nicht auf Ressourcen in der Domäne A. Bei bidirektionalen Vertrauensstellungen funktioniert der Zugriff in beide Richtungen.

5. Eingehend, Ausgehend, Trusting und Trusted verstehen

Häufig wird auch von ausgehenden und eingehenden Vertrauensstellungen gesprochen. Bei einer ausgehenden Vertrauensstellung vertraut Domäne A der Domäne B. In diesem Szenario dürfen die Anwender der Domäne B auf Ressourcen, zum Beispiel Dateifreigaben, der Domäne A zugreifen – zumindest wenn sie dazu berechtigt wurden.

Die Domäne, von der die Vertrauensstellung ausgeht, ist die vertrauende (trusting) Domäne. Eingehende Vertrauensstellungen werden zur vertrauten (trusted) Domäne eingerichtet, in der die Benutzerkonten angelegt sind, die Berechtigungen in der vertrauenden (trusting) Domäne haben.

6. Einrichten einer Vertrauensstellung

Vor der Einrichtung einer Vertrauensstellung muss auf den DNS-Servern beider Domänen sichergestellt sein, dass die Namensauflösung zur jeweiligen anderen Domäne funktioniert. Das kann über Delegierungen oder Weiterleitungen auf den DNS-Servern erfolgen. Danach erfolgt die Einrichtung der Vertrauensstellung:

  • Rufen Sie im Snap-In „Active Directory-Domänen und Vertrauensstellungen“ (domain.msc) die „Eigenschaften der Domäne“ auf, von der die Vertrauensstellung ausgehen soll
  • Wechseln Sie zur Registerkarte „Vertrauensstellungen“
  • Klicken Sie auf die Schaltfläche „Neue Vertrauensstellung“
  • Geben Sie den Namen der Domäne an, zu der Sie eine Vertrauensstellung einrichten wollen; verwenden Sie am besten den DNS-Namen; Dazu muss der Name natürlich aufgelöst werden können
  • Wählen Sie die Art der Vertrauensstellung aus
  • Wählen Sie aus, ob Sie die Vertrauensstellung überprüfen wollen; funktioniert die Einrichtung nicht, liegt es in den meisten Fällen an Problemen mit der Namensauflösung, oder den Berechtigungen des Benutzerkontos, das die Einrichtung vornimmt
  • Schließen Sie den Assistenten ab

7. Vertrauensstellungen in der Befehlszeile einrichten

Vertrauensstellungen lassen sich auch in der Befehlszeile einrichten. Hier ist es allerdings empfehlenswert nach der Einrichtung zu überprüfen, ob die Vertrauensstellung auch funktioniert, denn manchmal macht das Befehlszeilentool „netdom.exe“ Probleme:

netdom trust <TrustingDomainName> {/d: | /domain:} <TrustedDomainName> [{/ud: | /userd:}[<Domain>\]<User> [{/pd: | /passwordd:}{<Password>|*}] [{/uo: | /usero:}<User>] [{/po: | /passwordo:}{<Password>|*}] [/verify] [/reset] [/passwordt:<NewRealmTrustPassword>] [/add [/realm]] [/remove [/force]] [/twoway] [/kerberos] [/transitive[:{YES|NO}]] [/oneside:{TRUSTED | TRUSTING}] [/force] [/quarantine[:{YES | NO}]] [/namesuffixes:<TrustName> [/togglesuffix:#]] [/EnableSIDHistory] [/ForestTRANsitive] [/SelectiveAUTH][/AddTLN][/AddTLNEX][/RemoveTLN] [/RemoveTLNEX][/SecurePasswordPrompt] [/EnableTgtDelegation] [{/help | /?}

Die Syntax wird auf der Seite „Netdom trust“ der Microsoft-Dokumentation ausführlich erläutert. Ein einfaches Beispiel ist:

netdom trust <VertrauendeDomäne> /domain:<VertrauteDomäne> /quarantine:yes /userD:<Domänenadministrator> /passwordD: <KennwortDesDomänenAdministrators>

8. Namensräume in Gesamtstrukturen in Vertrauensstellungen steuern

Sind mehrere Strukturen im Einsatz kann bei Gesamtstruktur-übergreifenden Vertrauensstellungen auch festgelegt werden, welche Namensräume diese Vertrauensstellung nutzen kann. Die Namensräume legen die Strukturen fest, die in die Vertrauensstellung eingebunden werden. Namensräume können entfernt und jederzeit wieder hinzugefügt werden. Die Einstellungen werden auf Registerkarte „Namensuffixrouting“ konfiguriert.

9. Fehler mit Vertrauensstellungen von Computern zur Domäne beheben

Es gibt auch Vertrauensstellungen zwischen Computern und der Domäne, in der Computer Mitglied sind. Diese Vertrauensstellungen haben zwar nichts mit den Vertrauensstellungen zwischen Domänen zu tun, liefern aber manchmal Fehler, wenn ein Computer längere Zeit nicht angemeldet war, oder wenn bei einer VM ein Snapshot zurückgesetzt wurde. Fehler in der Art „Die Vertrauensstellung ….konnte nicht hergestellt werden“ tauchen auch auf, wenn Computer wiederhergestellt werden. Solche Fehler können in der PowerShell meistens leicht behoben werden. Dazu nutzen Sie folgendes Cmdlet:

Reset-ComputerMachinePassword -Server <Domänencontroller> -Credential <Domäne>\<Administrator>

Ebenfalls hilfreich kann folgender Befehl sein:

Test-ComputerSecureChannel -Repair -Server -Server <Domänencontroller> -Credential <Domäne>\<Administrator>

10.Vertrauensstellungen zwischen Computern und Domänen testen

Ob die Vertrauensstellung zwischen Domäne und Computer funktioniert, kann ebenfalls in der Befehlszeile überprüft werden:

nltest /sc_query:<Name der Domäne>

(ID:46721762)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist