可以使用 Active Directory 域和信任关系管理单元创建外部信任。
Domain Admins 或 Enterprise Admins 中的成员身份或同等身份是完成此过程所需的最低要求。 查看有关使用适当帐户和组成员关系的详细信息,请访问
创建外部信任
 | 使用 Windows 界面创建外部信任的步骤 |
打开“Active Directory 域和信任关系”。若要打开“Active Directory 域和信任关系”,请依次单击“开始”、“管理工具”和“Active Directory 域和信任关系”。
在控制台树中,右键单击要与其建立信任的域的域节点,然后单击“属性”。
在“信任”选项卡上,单击“新建信任”,然后单击“下一步”。
在“信任名称”页面上,键入域的域名系统 (DNS) 名称(或 NetBIOS 名称),然后单击“下一步”。
在“信任类型”页面上,单击“外部信任”,然后单击“下一步”。
在“信任方向”页面上,执行下列任一操作:
-
若要创建双向外部信任,请单击“双向”。
该域中的用户和指定域中的用户都将可以访问任意一个域中的资源。
-
若要创建单向传入外部信任,请单击“单向:传入”。
指定域中的用户将无法访问此域中的任何资源。
-
若要创建单向传出外部信任,请单击“单向:传出”。
该域中的用户将无法访问指定域中的任何资源。
-
若要创建双向外部信任,请单击“双向”。
继续按照向导中的说明执行操作。
其他注意事项
-
若要执行此过程,您必须是 Active Directory 域服务 (AD DS) 中 Domain Admins 组或 Enterprise Admins 组的成员,或者您必须被委派了适当的权限。作为安全性最佳操作,请考虑使用“运行身份”来执行此过程。有关详细信息,请在“帮助和支持”中搜索“使用运行身份”。
-
如果您具有每个域的相应管理凭据,则可以通过单击“信任方”页面上的“这个域和指定域”同时创建双方外部信任。
-
如果您希望允许指定域中的用户获得对此域中所有资源的访问权限,请单击“传出信任属性”页面上的“允许对所有资源进行身份验证”。两个域都属于相同组织时,请使用此选项。
-
如果您希望限制指定域中的用户获得对此域中任何资源的访问权限,请单击“传出信任属性”页面上的“允许仅对本地域中的选定资源进行身份验证”。每个域都属于单独的组织时,请使用此选项。
其他参考
| 使用命令行创建外部信任的步骤 |
打开命令提示符。若要打开命令提示符,请依次单击“开始”和“运行”,再键入 cmd,然后单击“确定”。
键入以下命令,然后按 Enter:
netdom trust <TrustingDomainName> /d:<TrustedDomainName> /add
| 参数 | 描述 |
|---|---|
|
netdom trust |
管理或验证域间的信任关系。 |
|
<TrustingDomainName> |
指定在即将创建的信任中的信任域的 DNS 名称(或 NetBIOS 名称)。 |
|
/d: |
指定随后的 DNS 域名是受信域。 |
|
<TrustedDomainName> |
指定在即将创建的信任中将会受到信任的域的 DNS 名称(或 NetBIOS 名称)。 |
|
/add |
指定已创建信任。 |
若要查看此命令的完整语法以及有关输入用户帐户信息的信息,请在命令提示符下键入以下命令,然后按 Enter:
netdom trust | more
其他注意事项
-
若要执行此过程,您必须是 AD DS 中 Domain Admins 组或 Enterprise Admins 组的成员,或者您必须被委派了适当的权限。作为安全性最佳操作,请考虑使用“运行身份”来执行此过程。有关详细信息,请在“帮助和支持”中搜索“使用运行身份”。可以验证快捷方式信任、外部信任和林信任的信任,但不能验证领域信任。
-
可以使用其他参数来分配密码或确定信任方向。例如,若要创建双向可传递信任,请使用以下语法:
netdom trust <TrustingDomainName> /d:<TrustedDomainName> /add /twoway