Теперь посмотрим, как выполнять проверку внешних доверительных отношений. Например, проверим отношение из домена-доверителя ( D01.local) Чтобы проверить отношение доверия:
Откройте оснастку «Active Directory - домены и доверие».
В дереве консоли щелкните правой кнопкой домен, участвующий в отношении доверия, которое требуется проверить ( D01. local), и выберите команду Свойства.
Выберите вкладку Доверия.
В списке Домены, которым доверяет этот домен выберите отношение доверия, которое требуется проверить ( D04. local), и нажмите кнопку Изменить (экран 20).
Нажмите кнопку Проверить. В появившемся диалоговом окне следует ввести учётные данные пользователя, имеющего право на изменение отношений доверия, те запись Администратора внешнего домена d04 и его пароль (экран 21).
Так же как и ранее, если регистрационные данные верны и отношение работоспособно, выводится подтверждающее сообщение (экран 22).
В случае ошибок выполните проверку вашей сетевой структуры (настройки шлюзов, брандмауэров, маршрутизаторов, разделяющих подсети доменов), настроек инфраструктуры DNS, работоспособность физических связей между контроллерами доменов, а также возможных ошибок внутри доменов Active Directory (анализируя Журналы Событий на контроллерах доменов).
По завершении установления доверительных отношений из доверенного домена теперь возможно просматривать ресурсы в домене-доверителе, используя аутентификацию пользователей Прошедших проверку (те участники спецгруппы группы ВСЕ).
Убедимся, что мы можем в домене-доверителе использовать объекты участники безопасности из доверенного домена (учётные записи из домена D04. local). Для этого создадим в домене D01 общий ресурс и предоставим доступ к нему глобальной группе «Пользователи домена» из доверенного домена D04.
Создайте в домене D01. local общую папку на контроллере домена Server01.
• Выбор внешнего домена с требуемой группой: Перейдите в закладку свойств Общий доступ и нажмите кнопку Разрешения (экран 23).
В окне выбора пользователей из списка «Искать в» открыть ниспадающий список и убедиться, что теперь новый доверяемый домен D04. local стал доступен для выбора объектов (экран 24).
• Авторизация на получение списка пользователей из внешнего домена: Из списка укажите домен D04. local. Т.к мы сами подключаемся к ресурсам внешнего домена (список его объектов), а доверия к нашему домену ( D01. local) из него не установлено, то выдается диалоговое окно авторизации для получения списка пользователей (экран 25).
Это происходит потому, что настроено только одностороннее доверие домена D01. local для учетных записей из доверенного домена D04. local, но не обратное). Укажите учётные данные пользователя с правами получения списка объектов из внешнего домена, например Администратор домена D04 и его пароль (но это может быть любая запись из внешнего домена, прошедшая его проверку).
• Выберите группу из внешнего домена:
В списке объектов безопасности внешнего домена D04. local выберите группу «Пользователи домена» и добавьте ее список безопасности общего ресурса с разрешением Чтение (экран 26).
• Выполним подключение к общему ресурсу из доверенного домена: На сервере Server04 убедимся в доступности удаленного файлового сервера из домена доверителя. В окне командной строки введем команду ping server01. do1. local и проверим, что связь с ним есть (экран 27).
Укажем UNC имя этого ресурсного сервера \ server01. d01. local и осуществим доступ к его общему каталогу (экран 28).
Таким образом, из доверенного домена D04 мы получили доступ к ресурсу в домене доверителе D01, что нам и требовалось.
Если необходимо, то возможно настроить отношения доверия в обратном направлении, от домена D04 к D01. Т.е доменом-доверителем станет домен D04. local, а доверенным доменом уже будет D01. local. Источник: http://www.oszone.net/1400
