Forest Trust

Forest root’lar arasında kurulan güven ilişkisine forest trust denir. Bu güven ilişkisi ile bir forest’ta bulunan adam diğer forest’tada kendi kullanıcı adı ile logon olabilir. Name Suffix Routing ‘i destekler. Yarı geçirgen bir yapıya sahiptir. Biz burada ilk olarak iki farklı forest arasında trust ilişkisi kurup daha sonra Active Directory Migration Tool’unu kullanarak bir forest’tan başka bir forest’a user taşıma işlemini gerçekleştireceğiz.

Omer.com domain’inde user1 adlı bir kullanıcı oluşturup Active Directory Migration Tool’unu kullanarak yazilimdevi.com domainine taşıyacağız. Burada taşıyacağımız kullanıcıyı SID numarası ile beraber taşıyacağız. Peki kullanıcının SID numarası ile beraber taşındığını nasıl anlayacağız? Omer.com üzerinde bir paylaşım oluşturacağım. Paylaşılmış klasörün security izinlerini alan kullanıcıyı yazilimdevi.com domaini üzerine taşıdıktan sonra omer.com üzerindeki paylaşıma tekrardan erişip erişemediğini kontrol edeceğim. Security üzerine atanmış izinler aslında user ve grupların SID numaralarına atanır. Forest Trust kurulması için forest functional level’in en az Windows Server 2003 olması gerekir. Trust işlemini yapacağımız domain’ler karşılıklı olarak birbirlerinin Dns isimlerini çözmelidirler.(Conditional Forwarder)

Forest Trust ilişki kuracağımız iki forest root domain arasında karşılıklı olarak Dns isimleriniçözmesini sağlayalım. Yazilimdevi.com domain’ine gidip DNS Manager konsolu açalım. DNS Manager konsolunda Conditional Forwarder kısmına hangi domain ile güven  ilişkisi kuracaksanız o domainin adı ve ip numarası yazılır. Ben buraya omer.com domainimi ve bu domaine ait ip adresini giriyorum. Aynı konfigürasyonu omer.com domaini için de gerçekleştireceğim.

İki forest’ın karşılıklı olarak birbirlerinin DNS isimlerini çözmesini sağladıktan sonra domainlerin birbirine ulaşıp ulaşamadığını kontrol edelim.

Yeni bir Trust  oluşturmak için Active Directory Domains and Trusts konsolu açılır. Yeni bir trust ilişkisi oluşturmak için New Trust butonuna tıklayalım. Yeni bir Trust oluşturmadan önce karşımıza gelen ekrandaki sekmelere kısaca değinelim:

General Sekmesi: Etki alanının adını, etki alanı işlevsel ve forest düzeyini görebilirsiniz.
Trust Sekmesi: Güven ilişkileri ile ilgili yönetimsel olayları gerçekleştirebilirsiniz.
Managed By Sekmesi: Trust ilişkilerini yöneten kişi ya da grupları belirleyebilirsiniz.

Karşımıza gelen Welcome to the New Trust Wizard ekranını Next butonu ile geçelim.

Karşımıza gelen Trust Name sayfasında hangi domain için trust ilişkisi oluşturmak istiyorsanız o domainin ismini girmelisiniz. İsmi girdikten sonra Next butonu ile ilerleyelim.

Trust Type sayfasında External Trust’mı Forest Trust’mı oluşturmak istediğinizi seçebilirsiniz.

External Trust: Windows NT 4.0’deki bir domainde veya forest trust kullanamayan bir forest’ta kaynaklara erişim sağlamak için External Trust’lar kullanılır. Geçişsiz bir yapıya sahiptir. Konfigürasyon tek veya çift yönlü olabilir.

Biz Forest Trust oluşturacağımız için Forest Trust seçeneğini seçip Next butonu ile ilerleyelim.

Direction of Trust penceresinde tek yönlü veya çift yönlü güven ilişkisi belirleyebileceğinizi seçebilirsiniz. Two way seçeneği ile güvenen ve güvenilen etki alanlarında kullanıcılar her iki forest’taki kaynakları kullanabilirler. One way-incoming seçeneği ile kendi etki alanımızda bulunan kullanıcılar karşı etki alanındaki kaynaklardan yararlanabilir fakat karşı tarafta bulunan kullanıcılar bizim kaynaklarımızdan yararlanamaz. One way-outgoing seçeneği ile karşı forest’ta bulunan kullanıcılar bizim kaynaklarımızdan yararlanırken bizim etki alanımızda bulunan kullanıcılar karşı taraftaki kaynaklardan yararlanamaz. Çift yönlü bir güven ilişkisi oluşturmak istediğim için Two way seçeneğini seçip Next butonu ile ilerliyorum.

Sides of Trust ekranında ise trust ilişkisinin taraflarını belirleyebilirsiniz.
This domain only ile güven ilişkisini tek taraflı olarak oluşturabilirsiniz.
Both this domain and the specified domain seçeneği ile trust ilişkisini her iki tarafta oluşturmayı sağlayabilirsiniz.
Both this domain and the specified domain seçeneğini seçip Next butonu ile ilerleyelim.

User Name and Password ekranında trust ilişkisi kuracağınız taraftaki yönetici hesabının adını ve şifresini girilir. Next butonunu kullanarak işlemimize devam edelim.

Karşımıza cikan ekranda forest trust ilişkileri için gelen ve giden kimlik doğrulama düzeyini belirleyebilirsiniz. Forest Wide Authentication ile oluşturulan trust ilişkisinde karşı tarafta bulunan kullanıcıların bizim kaynaklarımıza erişmesini sağlayabilirsiniz. Selective Authentication ile kimlik doğrulama işlemleri otomatik olarak gerçekleşmez. Bu yetkilendirme mekanizması ile her bilgisayar için erişim izinlerini tek tek vermeniz gerekir.

Forest Wide Authentication seçeneğini seçip Next butonu ile ilerleyelim.

Trust Creation Complete ekranında karşılıklı güven ilişkisinin  tamamladığını görebilirsiniz. Next butonu ile devam edelim.


Confirm Outgoing Trust ekranında No do not confirm the outgoing trust seçeneğini seçip Next ile işlemimizi sonlandıralım.

İki forest’ın çift yönlü olarak kaynaklara erişmesini sağlamış olduk. Oluşan güven ilişkisini Active Directory Domains and Trusts ekranının Trusts sekmesinde oluşturduğumuz trust’ı görebilirsiniz.

Artık güven ilişkisini oluşturduğumuza göre etki alanına üye herhangi bir bilgisayardan güven ilişkisini kurduğunuz diğer bilgisayarların paylaşımlarına erişip erişilemediğini kontrol edebilirsiniz. Şimdi Omer.com domainin’den komut satırına güven ilişkisi kurduğumuz yazilimdevi.com domainin adını yazarak network üzerinden paylaşımlarına ulaşmayı deneyelim.

Aynı işlemi yazilimdevi.com domain’i için gerçekleştirebilirsiniz. Yazilimdevi.com domain’i üzerinde komut satırına güven ilişkisi kurduğunuz omer.com domainin adını yazarak network üzerinden ulaşmayı deneyebilirsiniz.

referans : /omerucler.wordpress.com