Domain-Wide Forest-Wide Authentication

 Active Directory Trust yapısını kurarken eğer domain-wide veya forest-wide authentication seçilir ise, bu durumda trusted domain içerisindeki tüm kullanıcı, group ve bilgisayar hesapları, Trusting domain içerisindeki kaynak ve servislerde kimlik doğrulayabilir. Bu durumda siz sistem yöneticisi olarak çok iyi bir güvenlik analizi yapıyor olmalısınız. Aslında trust oluşturmak tüm kaynakları açmak olarak algılansa da aslında öyle değildir. Örneğin A ve B domainleri forest trust ile iki forest’ ı birleştiren bir yapı kurmuş olsun. Bu durumda gerek A gerekse B domaini içerisindeki Sharepoint, exchange, file server vb pek çok yer için siz karşılıklı olarak ACL içerisinden izin vermediğiniz sürece herhangi bir erişim söz konusu değildir. Bu  durumda bu trust ne işe yaradı derseniz ? Trust sizin ACL üzerinden diğer domaini görmenizi ve izin vermenize yardımcı olur.

Ancak burada unutulmaması gereken çok önemli bir nokta var. Siz eğer bir trust authentication scope seçiminde domain veya forest-wide seçerseniz bu durumda aslında düşündüğünüz şey başınıza kısmı olarak gelmiş olur. Nasıl ? Sonuç olarak yeni kurulmuş bir domain ve yine domain içerisine alınan her makinede “Authenticated Users” denilen bir group için Read hakkı vardır, bu da şu demek oluyor, siz trust yaptığınız ancak aslında diğer domaindeki herkes sizin bu kaynaklarınıza erişebilir. Dahası eğer siz bu konuda çok bilinçli bir izin politikası izlememiş ve ortak alanlar, file server ve benzeri yerlerde Authenticated Users kullanıcısına daha fazla yetki vermişseniz bu durumda ciddi sıkıntılar yaşayabilirsiniz.

Domain-Wide: External Trust yaparken kullanılır

Forest-Wide: Forest Trust yaparken kullanılır.