信任轉移性
轉移性決定信任是否可延伸到形成信任的兩個網域之外。您可以使用可轉移的信任來延伸與其他網域的信任關係。也可以使用非轉移的信任來拒絕與其他網域的信任關係。
可轉移的信任
每次您在樹系中建立新網域時,會自動在新的網域和其父系網域之間建立雙向、可轉移的信任關係。如果將子網域新增到新網域,信任路徑會沿著網域階層上溯,以延伸在新網域和其父系網域之間建立的初始信任路徑。
可轉移的信任會沿著其形成的網域樹系上溯,在網域樹系中所有網域之間建立可轉移的信任。
驗證要求會遵循這些信任路徑。因此,來自樹系中任何網域的帳戶都可以在網域中的其他任何網域上被驗證。透過單一登入程序,具有適當權限的帳戶可以存取樹系中任何網域內的資源。
除了在 Windows Server 2008 或 Windows Server 2008 R2 樹系中建立的預設可轉移信任之外,還可使用 [新增信任精靈] 手動建立下列可轉移的信任:
-
捷徑信任:在相同網域樹狀目錄或樹系中的網域之間的可轉移信任,可縮短大型複雜網域樹狀目錄或樹系中的信任路徑。
-
樹系信任:樹系根網域和第二樹系根網域之間的可轉移信任。
-
領域信任:Active Directory 網域和 Kerberos V5 領域之間的可轉移信任。如需 Kerberos V5 領域的相關資訊,請參閱 Kerberos V5 驗證 (
https://go.microsoft.com/fwlink/?LinkId=92699 (可能為英文網頁) )。
下圖顯示網域 A 樹系和網域 1 樹系之間的雙向、可轉移的信任關係。依照預設,網域 A 樹系中的所有網域和網域 1 樹系中的所有網域擁有可轉移的信任關係。因此,網域 A 樹系中的使用者可以存取網域 1 樹系中所有網域內的資源,而網域 1 樹系中的使用者在被指派資源的適當權限時,可以存取網域 A 樹系的資源。
如需信任類型的相關資訊,請參閱了解信任類型。
非轉移的信任
非轉移的信任受限於信任關係中的兩個網域。它不會流向樹系中其他任何網域。非轉移信任也可以是單向信任或雙向信任。非轉移的信任預設為單向,不過您也可以透過建立兩個單向信任來建立雙向關係。
總結來說,非轉移的網域信任是下列網域之間唯一可能的信任關係形式:
-
Windows Server 2008 或 Windows Server 2008 R2 網域和 Windows NT 網域之間
-
在一個樹系中的 Windows Server 2008 或 Windows Server 2008 R2 網域和另一個樹系的網域之間 (當樹系並未透過樹系信任結合)
您可以使用 [新增信任精靈] 手動建立下列非轉移的信任:
-
外部信任:Windows Server 2008 或 Windows Server 2008 R2 網域和 Windows NT 網域或 Windows 2000 網域、Windows Server 2003 網域、Windows Server 2008 或其他樹系中的 Windows Server 2008 R2 網域之間的非轉移信任。
-
領域信任:Active Directory 網域和 Kerberos版本 5 (V5) 領域之間的非轉移信任。如需 Kerberos V5 領域的相關資訊,請參閱 Kerberos V5 驗證 (
https://go.microsoft.com/fwlink/?LinkId=92699 (可能為英文網頁) )。
如需信任類型的相關資訊,請參閱了解信任類型。