您可以使用 [Active Directory 網域及信任] 嵌入式管理單元,建立網域之間的信任關係。

若要完成此程序,至少需要 Domain AdminsEnterprise Admins 的成員資格或同等權限。 請參閱有關使用適當帳戶與群組成員資格的詳細資料,網址位於:https://go.microsoft.com/fwlink/?LinkId=83477 (可能為英文網頁)。

建立樹系信任
  1. 開啟 [Active Directory 網域及信任]。若要開啟 [Active Directory 網域及信任],請依序按一下 [開始][系統管理工具],然後按一下 [Active Directory 網域及信任]

  2. 在主控台樹狀目錄中,請在想要管理的網域上按一下滑鼠右鍵,然後按一下 [內容]

  3. [信任] 索引標籤上,按一下 [新增信任],然後按一下 [下一步]

  4. [信任名稱] 頁面上,輸入網域的網域名稱系統 (DNS) 名稱 (或 NetBIOS 名稱),然後按一下 [下一步]

  5. [信任類型] 頁面上,按一下 [樹系信任],然後按一下 [下一步]

  6. [信任方向] 頁面上,執行下列其中一項:

    • 若要建立雙向樹系信任,按一下 [雙向]

      此樹系中的使用者和指定樹系中的使用者將可以存取任一樹系中的資源。

    • 若要建立單向連入樹系信任,按一下 [單向:連入]

      指定樹系中的使用者將無法存取此樹系中的任何資源。

    • 若要建立單向連出樹系信任,按一下 [單向:連出]

      此樹系中的使用者將無法存取指定樹系中的任何資源。

  7. 依照精靈中的指示繼續執行。

其他考量

  • 若要執行此程序,您必須是 Active Directory 網域服務 (AD DS) 中 Domain Admins 群組或 Enterprise Admins 群組的成員,或是已委派適當的授權。依安全性最佳作法,請考慮使用 [執行身分] 執行此程序。如需相關資訊,請搜尋「說明及支援」中的「使用執行身分」。

  • 如果您擁有每個樹系的適當系統管理認證,可以按一下 [信任方] 頁面上的 [這個網域和指定網域兩者],同時建立雙方的樹系信任。

  • 如果您想讓指定樹系的使用者具有本機樹系中所有電腦的存取權,請按一下 [連出信任內容] 頁面上的 [驗證整個樹系]。當兩個樹系都屬於相同組織時,通常會使用此選項。

  • 如果您想選擇性地限制對指定樹系的特定使用者或群組進行驗證,請按一下 [連出信任內容] 頁面上的 [選擇性驗證]。如果指定的樹系屬於不同組織,通常會使用此選項。

  • 除了建立新的信任之外,還可以按一下 [信任] 索引標籤來修改現有的信任。

其他參考資料