Лого Лого
Лого
Подписаться
Лого
Компания
Дополнительно
Продукты
Связаться с нами
+7 499 444 08 82 sales@multidirectory.ru support.md@multidirectory.ru
© 2026 MULTIDIRECTORY. Все права защищены.
Лого
2026
← Назад к списку терминов

Доверие доменов

Что такое доверие доменов

Доверие доменов (Domain Trust) — механизм взаимодействия между доменами, при котором один домен принимает результаты аутентификации пользователей из другого и предоставляет доступ к своим ресурсам без повторного ввода учётных данных.

Такой подход используется в корпоративных инфраструктурах с несколькими доменами, лесами или службами каталогов. Доверительные отношения объединяют разные части ИТ-среды в единую систему аутентификации и упрощают управление доступом.

Например, пользователь проходит аутентификацию в своём домене и получает доступ к файловым серверам, приложениям и другим ресурсам в доверяющем домене без создания отдельной учётной записи.

Доверие доменов применяется при:

  • миграции с Microsoft Active Directory;
  • объединении компаний;
  • интеграции филиалов;
  • построении гибридных инфраструктур;
  • взаимодействии Windows- и Linux-сред.

Как работает доверие доменов

В инфраструктурах Active Directory доверительные отношения обычно строятся на основе Kerberos.

После входа пользователя контроллер домена проверяет учётные данные и выдаёт Kerberos-билет. Если между доменами настроено доверие, другой домен принимает этот билет и разрешает доступ без повторной аутентификации.

При этом доверие подтверждает только личность пользователя, а не его права доступа. Полномочия определяются отдельно через: группы безопасности, роли, политики доступа. Доверяющий домен - домен, принимающий результаты аутентификации другого домена. При этом доверие подтверждает только личность пользователя, а не его права доступа. Доверяющий домен - домен, принимающий результаты аутентификации другого домена.

  • ACL (Access Control List);
  • группы безопасности;
  • роли;
  • политики доступа.

Компоненты доверия

  • Доверяющий домен — домен, принимающий результаты аутентификации другого домена.
  • Доверяемый домен — домен, чьим данным аутентификации доверяют.
  • KDC (Key Distribution Center) — центр распространения ключей Kerberos, выдающий билеты аутентификации.
  • Контроллер домена — сервер службы каталогов, выполняющий аутентификацию и хранящий данные о пользователях и политиках.

Виды доверия доменов

Одностороннее доверие

Один домен доверяет другому, но обратного доверия нет.

Например:

  • домен A доверяет домену B;
  • пользователи B получают доступ к ресурсам A;
  • пользователи A не получают доступ к B.

Часто используется для подрядчиков, тестовых сред и изолированных сегментов.

Двустороннее доверие

Оба домена принимают результаты аутентификации друг друга. Это наиболее распространённый вариант в корпоративных инфраструктурах.

Транзитивное доверие

Доверие автоматически распространяется на связанные домены.

Например:

  • A доверяет B;
  • B доверяет C;
  • A автоматически доверяет C.

Такой подход снижает количество ручных настроек.

Нетранзитивное доверие

Действует только между двумя конкретными доменами и не распространяется дальше.

Типы доверительных отношений

Forest Trust

Доверие между двумя лесами доменов.

Поддерживает:

  • Kerberos-аутентификацию;
  • SID;
  • PAC;
  • Global Catalog;
  • LDAP-взаимодействие;
  • универсальные группы безопасности.

Используется при миграции Active Directory, интеграции крупных инфраструктур и объединении компаний.

External Trust

Доверие между отдельными доменами вне одного леса.

Подходит для:

  • временного взаимодействия;
  • интеграции внешних организаций;
  • подключения изолированных сред.

External Trust не является транзитивным.

Realm Trust

Связывает Kerberos-реалмы и обеспечивает передачу Kerberos-билетов между инфраструктурами.

Часто применяется для интеграции Linux- и Unix-сред, MIT Kerberos и Heimdal Kerberos.

Shortcut Trust

Создаётся внутри леса доменов для сокращения маршрута аутентификации и ускорения доступа к ресурсам.

Где используется доверие доменов

Наиболее распространённый сценарий — миграция с Microsoft Active Directory на альтернативные службы каталогов, например, на MULTIDIRECTORY. Во время миграции старый и новый каталоги могут работать параллельно, а доверительные отношения позволяют пользователям продолжать работу без изменения процесса входа.

Также доверие доменов используется:

  • в холдингах и распределённых организациях;
  • при объединении компаний;
  • в инфраструктурах с несколькими лесами;
  • в гибридных Windows/Linux-средах.

Почему доверие доменов важно

Без доверительных отношений администраторам пришлось бы:

  • создавать отдельные учётные записи в каждом домене;
  • синхронизировать пароли;
  • вручную поддерживать права доступа;
  • дублировать группы и политики.

Доверие доменов позволяет централизовать аутентификацию, упростить управление доступом и снизить нагрузку на ИТ-службу.

Подробнее о доверии доменов можно прочитать в статье в блоге.

Используемые термины

Domain Trust — механизм доверительных отношений между доменами, позволяющий использовать результаты аутентификации одного домена для доступа к ресурсам другого.

Kerberos — защищённый сетевой протокол аутентификации.

Kerberos-билет — криптографически защищённый токен.

KDC — Key Distribution Center, центр распространения ключей Kerberos.

ACL — Access Control List, список контроля доступа, определяющий права пользователей и групп на доступ к объектам системы.

Forest Trust — доверие леса, транзитивный тип доверительных отношений в Microsoft Active Directory.

External Trust — нетранзитивное доверие между отдельными доменами вне одного леса.

Realm Trust — тип доверия между Kerberos-реалмами, используемый для интеграции различных Kerberos-инфраструктур.

Kerberos Realm — административная область Kerberos-аутентификации с единым центром выдачи билетов.

Shortcut Trust — доверие внутри леса доменов, предназначенное для сокращения маршрута аутентификации и ускорения доступа к ресурсам.

SID — Security Identifier, уникальный идентификатор объекта безопасности в Windows и Active Directory.

PAC — Privilege Attribute Certificate, структура в Kerberos-билете Microsoft, содержащая информацию о правах и группах пользователя.

Global Catalog — глобальный каталог Active Directory, содержащий сведения обо всех объектах леса для поиска и аутентификации.

LDAP — Lightweight Directory Access Protocol, легковесный протокол доступа к каталогам.

MIT Kerberos — реализация протокола Kerberos, разработанная Массачусетским технологическим институтом.

Читать также:

Сookies
Продолжая использовать сайт, вы соглашаетесь с тем, что мы используем cookies