Exporter (0) Imprimer
Développer tout
Cet article a fait l'objet d'une traduction automatique. Déplacez votre pointeur sur les phrases de l'article pour voir la version originale de ce texte. Informations supplémentaires.
Traduction
Source

Approbation de Netdom

Établit, vérifie ou rétablit une relation d'approbation entre domaines.

Netdom est un outil de ligne de commande qui est intégré à Windows Server 2008 et Windows Server 2008 R2. Il est disponible si vous avez installé le rôle de serveur Services de domaine Active Directory (AD DS). Il est également disponible si vous installez les outils Active Directory domaine Services qui font partie de l'outils d'Administration serveur distant (RSAT). Pour plus d'informations, consultez Comment administrer Microsoft Windows ordinateurs Client et serveur localement et à distance (http://go.Microsoft.com/fwlink/?)LinkID = 177813).

Pour utiliser netdom, vous devez exécuter la commande netdom à partir d'une invite de commandes avec élévation de privilèges. Pour ouvrir une invite de commandes avec élévation de privilèges, cliquez sur Démarrer, cliquez droit sur invite de commandeet puis cliquez sur Exécuter en tant qu'administrateur.

Pour obtenir des exemples d'utilisation de cette commande, voir des exemples.

Cc835085.Important(fr-fr,WS.10).gif Important
Netdom ne peut pas être utilisé pour créer une approbation de forêt entre deux AD DS forêts. Pour créer une approbation entre forêts entre AD deux forêts de service d'annuaire, vous pouvez utiliser une solution de script ou les domaines Active Directory et le composant logiciel enfichable approbations.

Syntaxe



approbation de Netdom <TrustingDomainName>{/ d: | / Domain:} <TrustedDomainName>[{/ ud: | / userd:} [<Domain> \] <User>[{/ pd: | / passwordd:} {<Password> | *}] [{/ uo: | / usero:} <User>] [{/ po: | / passwordo:} {<Password> | *}] [/VERIFY] [/reset] [/ passwordt : <NewRealmTrustPassword>] [/Add [/realm]] [/Remove [/ force]] [/twoway] [/ Kerberos] [/ transitive [: {Oui|NON}]] [/ oneside: {confiance | FAIBLE}] [/ force] [/ de quarantaine [: {YES | NON}]] [/ namesuffixes : <TrustName>[/ togglesuffix: #]] [/EnableSIDHistory] [/ForestTRANsitive] [/SelectiveAUTH][/AddTLN][/AddTLNEX][/RemoveTLN] [/RemoveTLNEX][{/Help | /?}]

Paramètres

Paramètre Description

<TrustingDomainName>

Spécifie le nom du domaine autorisé à approuver.

{/ d: | / Domain:} <TrustedDomainName>

Spécifie le nom du domaine approuvé. Si vous ne spécifiez pas ce paramètre, une confiance netdom utilise le domaine auquel appartient l'ordinateur actuel.

{/ ud: | / userd:}[<Domain> \] <User>]

Spécifie le compte d'utilisateur à utiliser pour établir la connexion avec le domaine que vous spécifiez dans le paramètre /dou/Domain ou/Domain . Si vous ne spécifiez pas ce paramètre, une confiance netdom utilise le compte d'utilisateur actuel.

/ pd: {<Password> | *}

Spécifie le mot de passe du compte d'utilisateur que vous spécifiez dans la/udou/userd ou/userd : paramètre. Si vous spécifiez la valeur de ce paramètre comme un caractère générique (*), ce paramètre vous demande le mot de passe.

{/ uo: | / usero:} <User>

Spécifie le compte d'utilisateur à utiliser pour établir la connexion avec le domaine autorisé à approuver. Si vous ne spécifiez pas ce paramètre, une confiance netdom utilise le compte d'utilisateur actuel.

{/ po: | / passwordo:}{<Password> | *}

Spécifie le mot de passe du compte d'utilisateur que vous spécifiez dans le paramètre /uoou/usero ou/usero . Si vous spécifiez la valeur de ce paramètre comme un caractère générique (*), ce paramètre vous demande le mot de passe.

/Verify

Vérifie les secrets du canal sécurisé sur lequel repose une relation d'approbation spécifique.

/Reset

Réinitialise le secret d'approbation entre domaines approuvés ou entre le contrôleur de domaine et la station de travail.

/passwordt : <NewRealmTrustPassword>

Spécifie un nouveau mot de passe d'approbation. Ce paramètre est valide uniquement si vous spécifiez le paramètre / Ajouter et uniquement si l'un des domaines que vous spécifiez un domaine de Kerberos non-Windows. Vous définissez le mot de passe sur le domaine Windows uniquement, qui signifie que vous n'avez pas besoin d'informations d'identification pour le domaine non Windows.

/Add

Spécifie pour créer une approbation.

/realm

Permet de créer l'approbation pour un domaine de Kerberos non-Windows. Ce paramètre est valide uniquement si vous spécifiez les paramètres /Add et /passwordt .

/Remove

Spécifie pour rompre une relation d'approbation.

/force

Supprime de la forêt, l'objet domaine approuvé et l'objet de référence croisée pour le domaine que vous spécifiez. Ce paramètre vous permet de nettoyer les domaines mis hors service, que vous n'utilisez plus et que vous ne pouvez pas supprimer à l'aide de l'Assistant Installation de Active Directory. Ce problème peut se produire si le contrôleur de domaine pour un domaine mis hors service est désactivé ou endommagé et aucun contrôleur de domaine supplémentaire, ou si vous ne pouvez pas récupérer un contrôleur de domaine retiré à partir du média de sauvegarde. Ce paramètre est valide uniquement si vous spécifiez le paramètre/Supprimer .

/TwoWay

Spécifie pour établir une relation d'approbation bidirectionnelle, plutôt qu'une relation d'approbation à sens unique.

/ Kerberos

Spécifie d'exercer le protocole Kerberos entre une station de travail et un domaine de destination. Ce paramètre est valide uniquement si vous spécifiez le paramètre /Verify .

/ transitive [: {Oui|NON}]

Spécifie pour définir soit une relation d'approbation transitive ou non transitives. Ce paramètre est valide uniquement pour un domaine de Kerberos non-Windows. Approbation de Netdom crée non Windows, les approbations Kerberos qui sont non transitives. Si vous ne spécifiez pas de valeur pour ce paramètre, une confiance netdom affiche l'état actuel de la transitivité. La liste suivante indique les valeurs que vous pouvez spécifier.

  • Oui : Définit le domaine pour une approbation transitive.

  • NON : Définit le domaine pour une approbation non transitive.

/OneSide: {TRUSTED| FAIRE CONFIANCE À}

Spécifie pour créer ou supprimer l'objet d'approbation sur un seul domaine. La liste suivante indique les valeurs que vous pouvez spécifier.

  • APPROUVÉ : Spécifie pour créer ou supprimer l'objet d'approbation sur le domaine approuvé que vous spécifiez dans le paramètre /dou/Domain ou/Domain .

  • APPROBATEUR : Spécifie pour créer ou supprimer l'objet d'approbation sur le domaine autorisé à approuver. Cette valeur est valide uniquement si vous spécifiez le paramètre /Add ou /Remove . Le paramètre /passwordt est requis lorsque vous utilisez le paramètre /Add ou /Remove .

yes [: {YES | NON}]

Active ou désactive l'attribut de mise en quarantaine du domaine. Si vous ne spécifiez pas de valeur pour ce paramètre, une confiance netdom affiche l'état actuel de la mise en quarantaine. La liste suivante indique les valeurs que vous pouvez spécifier.

  • Oui : Spécifie pour accepter uniquement identificateurs de sécurité (SID) du domaine directement approuvés pour les données d'autorisation que netdom trust renvoie lors de l'authentification. Approbation Netdom supprime le SID de tous les autres domaines.

  • NON : Spécifie pour accepter des SID des données d'autorisation que netdom trust renvoie lors de l'authentification. Il s'agit de la valeur par défaut.

/namesuffixes : <TrustName>

Répertorie les suffixes de noms routés pour TrustName sur le domaine contenant les noms des Nom_domaine_approbation . Vous pouvez utiliser les paramètres/useroet/passwordo et/passwordo pour l'authentification. Le paramètre /domain n'est pas obligatoire.

/ToggleSuffix: #

Modifie l'état d'un suffixe de nom. Utilisé avec le paramètre /namesuffixes . Le numéro de l'entrée du nom spécifié par le paramètre /namesuffixes doit être prévu pour indiquer quel nom aura son statut modifié. Les noms qui sont en conflit ne peut pas avoir leur état modifié jusqu'à ce que le nom de l'approbation en conflit est désactivé. Toujours faire précéder cette commande avec le paramètre /namesuffixes dans la mesure où le LSA pas retournera toujours les noms dans le même ordre.

/ EnableSIDhistory

Spécifiant Oui permet aux utilisateurs de migrer vers la forêt approuvée à partir de n'importe quel autre forêt à utiliser l'historique SID pour accéder aux ressources de cette forêt. Valable uniquement pour une approbation de forêt sortante.

Remarque   Autoriser les utilisateurs migrés utiliser l'historique SID uniquement si vous pouvez faire confiance aux forêt approuvée aux administrateurs de spécifier les identificateurs de sécurité de cette forêt dans l'attribut historique SID de leurs utilisateurs correctement.

Spécification d'Aucun ne désactivera la capacité des utilisateurs migrés dans la forêt approuvée d'utiliser l'historique SID pour accéder aux ressources de cette forêt. Ne spécification de /EnableSIDHistory sans Oui ou s'afficher l'état actuel.

/ ForestTRANsitive

Spécifiant Oui marque cette approbation de forêt transitives. Spécification d'Aucune ne marque cette approbation comme forêt pas transitive. Spécification de /ForestTRANsitive sans Oui ou non affiche l'état actuel de cet attribut de niveau de confiance. Valide uniquement pour les approbations de domaine Kerberos non-Windows et ne peut être effectuée sur le domaine racine d'une forêt.

/ SelectiveAUTH

Aucun Aucun désactive authentification sélective entre cette approbation. Spécification de /SelectiveAUTH sans yes ou no affiche l'état actuel de cet attribut de niveau de confiance. Spécifiant Oui permet une authentification sélective sur cette approbation. Valide uniquement sur les approbations externes et de forêt sortante.

/ AddTLN

Ajoute le nom de niveau supérieur (suffixe de nom DNS) spécifié pour les informations d'approbation de forêt pour l'approbation spécifiée. Valide uniquement pour un domaine Kerberos non-Windows transitive forêt d'approbation et ne peut être effectuée sur le domaine racine d'une forêt. Reportez-vous à l'opération /NameSuffixes pour obtenir une liste de suffixes de noms.

/ AddTLNEX

Ajoute l'exclusion du nom spécifié du niveau supérieur (suffixe de nom DNS) pour les informations d'approbation de forêt pour l'approbation spécifiée. Valide uniquement pour un domaine Kerberos non-Windows transitive forêt d'approbation et ne peut être effectuée sur le domaine racine d'une forêt. Reportez-vous à l'opération /NameSuffixes pour obtenir une liste de suffixes de noms.

/ RemoveTLN

Supprime le nom de niveau supérieur (suffixe de nom DNS) spécifié à partir des informations d'approbation de forêt à partir de l'approbation spécifiée. Valide uniquement pour un domaine Kerberos non-Windows transitive forêt d'approbation et ne peut être effectuée sur le domaine racine d'une forêt. Reportez-vous à l'opération /NameSuffixes pour obtenir une liste de suffixes de noms.

/ RemoveTLNEX

Supprime l'exclusion du nom spécifié du niveau supérieur (suffixe de nom DNS) d'informations d'approbation de forêt à partir de l'approbation spécifiée. Valide uniquement pour un domaine Kerberos non-Windows transitive forêt d'approbation et ne peut être effectuée sur le domaine racine d'une forêt. Reportez-vous à l'opération /NameSuffixes pour obtenir une liste de suffixes de noms.

{/Help | /?}

Affiche l'aide à l'invite de commande.

Exemples

Lorsqu'il est utilisé avec l'opération de confiance, le paramètre/d: fait toujours référence au domaine approuvé.

Pour définir le domaine de ressources Windows NT 4.0 pour approuver le domaine de compte Windows NT 4.0 Northamerica USA-Chicago, tapez la commande suivante à l'invite de commande :



netdom trust /d:Northamerica USA Chicago /Add /Ud:Northamerica\admin/pd: * /Uo:USA-Chicago\admin RESDOM\Administrateur/po: *

Lorsque vous appuyez sur entrée, vous voyez le message suivant :



Mot de passe pour Northamerica\admin :

Entrez le mot de passe Northamerica\admin. Lorsque vous appuyez sur entrée, vous voyez le message suivant :



Mot de passe pour les USA-Chicago\admin :

Tapez le mot de passe pour les USA-Chicago\admin et appuyez sur ENTRÉE.

L'utilisateur doit disposer des informations d'identification pour les deux domaines. Vous pouvez utiliser le paramètre/pd pour spécifier le mot de passe pour Northamerica\admin et le paramètre RESDOM\Administrateur/po spécifier le mot de passe pour les USA-Chicago\admin. Si l'utilisateur ne fournit pas de mots de passe à l'invite de commande, l'utilisateur est invité pour les deux.

Si vous souhaitez spécifier une approbation bidirectionnelle, tapez la commande suivante à l'invite de commande



netdom trust /d:marketing.contoso.com engineering.contoso.com /Add /twoway /Uo:admin@engineering.contoso.com /Ud:admin@marketing.contoso.com

Pour établir une approbation à sens unique où Northamerica approuve la non Windows, le domaine Kerberos ATHENA, tapez la commande suivante à l'invite de commande :



netdom trust /d:ATHENA Northamerica /Add /realm /PT:password

Le paramètre /d Spécifie le domaine approuvé et le paramètre /realm indique qu'il s'agit d'un domaine de Kerberos non-Windows. L'ordre des domaines n'est pas important. Vous pouvez fournir des informations d'identification pour le domaine Windows 2000, si nécessaire.

Cc835085.note(fr-fr,WS.10).gif Remarque
Vérification d'une relation d'approbation spécifique nécessite les références, à moins que l'utilisateur dispose des privilèges d'administrateur de domaine sur les deux domaines.

Si vous souhaitez définir le domaine Kerberos pour approuver le domaine Northamerica ATHENA, tapez la commande suivante à l'invite de commande :



netdom trust /d:Northamerica ATHENA /Add

Cc835085.note(fr-fr,WS.10).gif Remarque
Pour établir une approbation bidirectionnelle, vous pouvez spécifier le paramètre /twoway .

Approbations Kerberos non-Windows sont créées comme non transitives. Si vous souhaitez modifier l'approbation de ATHENA en Amérique du Nord comme transitive, tapez la commande suivante à l'invite de commande :



netdom trust Northamerica /d:ATHENA /trans:yes

Pour afficher l'état transitive, tapez la commande suivante à l'invite de commande :



approbation de Netdom Northamerica /d:ATHENA /trans

L'ordre de ces deux domaines n'est pas important. Le domaine Kerberos non-Windows, peut être.

Pour annuler l'approbation que Chicago-USA a pour l'Amérique du Nord, tapez la commande suivante à l'invite de commande :



netdom approbation /d:Northamerica USA Chicago /Remove.

Pour rompre la relation d'approbation bidirectionnelle, tapez la commande suivante à l'invite de commande :



netdom approbation /d:marketing.contoso.com Engineering.contoso.com /remove /twoway /Uo:admin@engineering.contoso.com /Ud:admin@marketing.contoso.com

Pour vérifier l'approbation unidirectionnelle USA Chicago a pour l'Amérique du Nord, tapez la commande suivante à l'invite de commande :



netdom trust /d:Northamerica USA Chicago /Verify

Pour vérifier une approbation bidirectionnelle entre les domaines de l'Europe et Amérique du Nord, tapez la commande suivante à l'invite de commande :



netdom trust /d:Northamerica EUROPE /Verify /twoway

Le paramètre /Verify vérifie que les secrets partagés appropriés sont synchronisés entre les deux domaines impliqués dans l'approbation.

Pour réinitialiser le canal sécurisé pour l'approbation à sens unique entre l'Amérique du Nord et États-Unis-Chicago, tapez la commande suivante à l'invite de commande :



netdom trust /d:Northamerica USA Chicago /Ud:Northamerica\admin /reset

Le paramètre/réinitialisation synchronise les secrets partagés appropriées si elles ne sont pas déjà synchronisés.

Pour vérifier que l'authentification Kerberos se produit avec succès entre une station de travail et un service qui se trouve dans le domaine devgroup.example.com, tapez la commande suivante à l'invite de commande :



netdom trust /d:devgroup.example.com / verify/Kerberos

Lorsque vous utilisez netdom opération de confiance avec les paramètres / verify/Kerberos , l'opération confiance cherche un ticket de session pour le service d'administration de Kerberos dans le domaine cible. Si l'opération de recherche est réussie, vous pouvez en conclure que toutes les opérations Kerberos, tels que les redirections de KDC, fonctionnent correctement entre la station de travail et le domaine cible.

Cc835085.note(fr-fr,WS.10).gif Remarque
Vous ne pouvez pas exécuter cette opération de confiance depuis un emplacement distant. Vous devez exécuter l'opération sur la station de travail que vous souhaitez tester.

Pour répertorier les suffixes de noms routés pour l'approbation entre contoso et la trustpartnerdomain, tapez la commande suivante à l'invite de commande :



netdom approbation contoso /namesuffixes:trustpartnerdomain

Cc835085.note(fr-fr,WS.10).gif Remarque
Le paramètre /d n'est pas nécessaire pour cette opération qui constitue une exception à partir d'autres opérations de confiance.

Cette option répertorie tous les suffixes de noms routés pour la relation d'approbation entre contoso et la trustpartnerdomain. La relation d'approbation doit être une relation d'approbation de forêt ou une approbation de domaine Kerberos non-Windows avec l'attribut Transitive de forêt .

Voici un exemple de résultat :



C:\nt\ds\netapi\netdom\obj\i386 > netdom trust shasandom2 /namesuffixes:powermatic nom, Type, état, Notes1.

*. Enabled2 treyresearch.net, le suffixe de nom.

*. Enabled3 powermatic.nttest.contoso.com, suffixe de nom.

*. Enabled4 adatum.com, suffixe de nom.

*. cpandl.com, suffixe de nom en conflit avec shasandom2.nttest.contoso.com5.

unisaw.powermatic.nttest.contoso.com, nom de domaine DNS, Enabled6.

UNISAW, nom de domaine NetBIOS, activé, pour unisaw.powermatic.nttest.contoso.

COM7.

s-1-5-21-1550512861-723516995-420396236, domaine SID, activé, pour unisaw.powermatic.nttest.contoso.com8.

powermatic.nttest.contoso.com, nom de domaine DNS, Enabled9.

POWERMATIC, nom de domaine NetBIOS, activé, pour powermatic.nttest.contoso.com10.

s-1-5-21-1390067357-1757981266-527237240, le SID de domaine, Enabled, pour powermatic.nttest.contoso.comThe commande a réussi.

Pour activer ou désactiver le premier suffixe de nom routés dans la liste générée par la commande précédente, tapez la commande suivante à l'invite de commande :



netdom trust myTestDomain /namesuffixes:foresttrustpartnerdomain /togglesuffix:1

Cc835085.note(fr-fr,WS.10).gif Remarque
Vous devez utiliser le paramètre /ToggleSuffix avec le paramètre /NameSuffixes . Utilisez /NameSuffixes immédiatement avant /ToggleSuffix car l'ordre dans lequel figurent les suffixes de noms peut changer.

Voici un exemple de résultat :

Cc835085.note(fr-fr,WS.10).gif Remarque
Le résultat reflète la liste de suffixes de nom routés après l'opération Toggling.



C:\nt\ds\netapi\netdom\obj\i386 > netdom trust shasandom2 /ns:powermatic /ts:1 nom, Type, état, Notes1.

*.

Disabled2-treyresearch.NET, le suffixe de nom, Admin.

*. Enabled3 powermatic.nttest.contoso.com, suffixe de nom.

*.

adatum.com, suffixe de nom, Enabled4.

*.

cpandl.com, suffixe de nom en conflit avec shasandom2.nttest.contoso.com5.

unisaw.powermatic.nttest.contoso.com, nom de domaine DNS, Enabled6.

UNISAW, nom de domaine NetBIOS, activé, pour unisaw.powermatic.nttest.contoso.

COM7.

s-1-5-21-1550512861-723516995-420396236, domaine SID, activé, pour unisaw.powermatic.nttest.contoso.com8.

powermatic.nttest.contoso.com, nom de domaine DNS, Enabled9.

POWERMATIC, nom de domaine NetBIOS, activé, pour powermatic.nttest.contoso.com10.

s-1-5-21-1390067357-1757981266-527237240, le SID de domaine, Enabled, pour powermatic.nttest.contoso.comThe commande a réussi.

Pour ajouter les informations d'approbation de forêt avec trustpartnerdomain le contoso.com de suffixe de nom DNS, tapez la commande suivante à l'invite de commande :



Netdom approbation myTestDomain /d:trustPartnerDomain /AddTln:contoso.com

Ajoutez le suffixe de nom DNS n'est autorisée que pour une relation d'approbation avec une forêt transitives, approbation de domaine Kerberos non-Windows. Cela vaut également pour les commandes suivantes :

  • Netdom approbation myTestDomain /d:trustPartnerDomain /RemoteTln:contoso.com

  • Netdom approbation myTestDomain /d:trustPartnerDomain /AddTLNEx:something.contoso.com

    Cela doit avoir une entrée de TLN à présenter pour le contexte de nommage parent, dans ce cas, contoso.com, sinon l'opération est interdite).

  • Netdom approbation myTestDomain /d:trustPartnerDomain /RemoveTLNEx:something.contoso.com

Le code suivant répertorie les suffixes de noms sur une approbation de domaine Kerberos non-Windows :



C:\nt\ds\netapi\netdom\obj\i386 > netdom approbation shasandom2 /ns:server.mit.org nom, Type, état, Notes1.

*. Enabled2 cpandl.com, suffixe de nom.

*. adatum.com, suffixe de nom, activé la commande s'est terminée correctement.

Le code suivant ajoute un autre TLN :



C:\nt\ds\netapi\netdom\obj\i386 > shasandom2 /d:domain.mit.org /addtln:dude.comThe TLN netdom approbation ou l'Exclusion a été ajoutée aux informations d'approbation de forêt.

La commande s'est terminée correctement.

Le code suivant ajoute une exclusion TLN non valide :



C:\nt\ds\netapi\netdom\obj\i386 > netdom approbation shasandom2 /d:domain.mit.org /addtlnex:dude.comThe informations d'approbation de forêt pour l'approbation spécifiée n'a pas pu être stocké.

Le paramètre est incorrect.

Essayez « netdom aide » pour plus d'informations.

Le code suivant ajoute une exclusion TLN valide :



C:\nt\ds\netapi\netdom\obj\i386 > shasandom2 /d:domain.mit.org /addtlnex:child.contoso.comThe TLN netdom approbation ou l'Exclusion a été ajoutée aux informations d'approbation de forêt.

La commande s'est terminée correctement.

Le code suivant illustre le résultat des opérations précédentes :



C:\nt\ds\netapi\netdom\obj\i386 > netdom approbation shasandom2 /ns:server.mit.org nom, Type, état, Notes1.

*. enfant.contoso.com, Exclusion2.

*. Enabled3 cpandl.com, suffixe de nom.

*. Enabled4 adatum.com, suffixe de nom.

*. contoso.com, le suffixe de nom, EnabledThe commande a réussi.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Microsoft réalise une enquête en ligne pour recueillir votre opinion sur le site Web de MSDN. Si vous choisissez d’y participer, cette enquête en ligne vous sera présentée lorsque vous quitterez le site Web de MSDN.

Si vous souhaitez y participer,
Afficher:
© 2014 Microsoft