信任方向
信任類型及其被指派的方向會影響用來驗證的信任路徑。信任路徑是一系列的信任關係,驗證要求在網域之間傳送時必須遵循這些關係。執行 Windows Server 2008 或 Windows Server 2008 R2 的網域控制站上的安全性系統必須要先判斷信任網域 (包含使用者嘗試存取資源的網域) 和受信任的網域 (使用者的登入網域) 是否具有信任關係,使用者才可以存取其他網域的資源。若要判斷信任關係,安全性系統會計算信任網域中的網域控制站和受信任網域中的網域控制站之間的信任路徑。在下圖中,信任路徑是以顯示信任方向的箭頭來表示。
所有網域信任關係在網域關係中只有兩種網域:信任網域和受信任網域。
單向信任
單向信任是在兩個網域之間建立的單向驗證路徑。這表示在網域 A 和網域 B 之間的單向信任中,網域 A 中的使用者可以存取網域 B 中的資源。但是,網域 B 中的使用者無法存取網域 A 中的資源。部分單向信任可以是轉移信任或可轉移信任,視所建立的信任類型而定。如需信任類型的相關資訊,請參閱了解信任類型。
雙向信任
Windows Server 2008 或 Windows Server 2008 R2 樹系中的所有網域信任都是雙向的可轉移信任。建立新的子網域時,會在新的子網域和父系網域之間自動建立雙向、可轉移信任。在雙向信任中,網域 A 信任網域 B,而網域 B 也信任網域 A。這表示驗證要求可以在兩個網域中雙向傳送。部分雙向關係可以是非轉移或可轉移,視所建立的信任類型而定。如需相關資訊,請參閱了解信任類型。
Windows Server 2008 或 Windows Server 2008 R2 網域可以與下列網域和領域建立單向或雙向信任:
-
相同樹系中的 Windows Server 2008 或 Windows Server 2008 R2 網域
-
不同樹系中的 Windows Server 2008 或 Windows Server 2008 R2 網域
-
相同樹系中的 Windows Server 2003 網域
-
不同樹系中的 Windows Server 2003 網域
-
Windows NT 4.0 網域
-
Kerberos 版本 5 (V5) 領域
如需 Kerberos V5 通訊協定的相關資訊,請參閱 Kerberos V5 驗證 (