信任方向
信任类型及其分配的方向将影响用于身份验证的信任路径。信任路径是身份验证请求必须符合域之间的一系列信任关系。运行 Windows Server 2008 或 Windows Server 2008 R2 的域控制器上的安全系统必须确定信任域(包含用户尝试访问的资源的域)与受信域(用户的登录域)之间是否具有信任关系之后,用户才可以访问另一个域的资源。若要确定这一点,安全系统会计算位于受信域中的信任域和域控制器中的域控制器之间的信任路径。在下图中,信任路径由箭头表示,该箭头显示信任的方向。
所有域信任关系仅具有下列关系中的两个域:信任域和受信域。
单向信任
单向信任是在两个域之间创建的单向身份验证路径。这表示在域 A 和域 B 之间的单向信任中,域 A 中的用户可以访问域 B 中的资源。但是域 B 中的用户无法访问域 A 中的资源。某些单向信任可以是不可传递信任,也可以是可传递信任,这取决于创建的信任类型。有关信任类型的详细信息,请参阅了解信任类型。
双向信任
Windows Server 2008 或 Windows Server 2008 R2 林中的所有域信任都是双向可传递信任。创建新的子域时,系统将在新的子域和父域之间自动创建双向可传递信任。在双向信任中,域 A 信任域 B,并且域 B 信任域 A。这表示可以在两个域之间双向传递身份验证请求。某些双向关系可以是不可传递的,也可以是可传递的,这取决于所创建的信任类型。有关详细信息,请参阅了解信任类型。
Windows Server 2008 或 Windows Server 2008 R2 域可以与下列域和领域建立单向或双向的信任:
-
相同林中的 Windows Server 2008 或 Windows Server 2008 R2 域
-
不同林中的 Windows Server 2008 或 Windows Server 2008 R2 域
-
相同林中的 Windows Server 2003 域
-
不同林中的 Windows Server 2003 域
-
Windows NT 4.0 域
-
Kerberos 版本 5 (V5) 领域
有关 Kerberos V5 协议的详细信息,请参阅 Kerberos V5 身份验证 (