Gründe für das Erstellen einer externen Vertrauensstellung
Sie können eine externe Vertrauensstellung erstellen, um eine uni- oder bidirektionale nicht transitive Vertrauensstellung mit Domänen außerhalb der Gesamtstruktur zu erstellen. Externe Vertrauensstellungen sind gelegentlich erforderlich, wenn Benutzer Zugriff auf Ressourcen in einer Windows NT 4.0-Domäne oder in einer Domäne innerhalb einer separaten Gesamtstruktur benötigen, für die keine Gesamtstruktur-Vertrauensstellung vorhanden ist (siehe folgende Abbildung).
Wenn Sie eine Vertrauensstellung zwischen einer Domäne in einer bestimmten Gesamtstruktur und einer Domäne außerhalb dieser Gesamtstruktur erstellen, haben die Sicherheitsprinzipale in der externen Domäne Zugriff auf Ressourcen in der internen Domäne. Von den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) wird zur Darstellung der einzelnen Sicherheitsprinzipale in der vertrauenswürdigen externen Domäne ein fremdes Sicherheitsprinzipalobjekt in der internen Domäne erstellt. Diese fremden Sicherheitsprinzipale können in der internen Domäne als Mitglieder der lokalen Gruppe (in Domäne) aufgenommen werden. Lokalen Gruppen (in Domäne) können über Mitglieder aus Domänen außerhalb der Gesamtstruktur verfügen.
Die Verzeichnisobjekte für fremde Sicherheitsprinzipale werden durch AD DS erstellt und sollten nicht manuell geändert werden. Aktivieren Sie die erweiterten Features, um fremde Sicherheitsprinzipalobjekte im Snap-In Active Directory-Benutzer und -Computer anzuzeigen. (Klicken Sie im Menü Ansicht auf Erweiterte Funktionen.)
Weitere Informationen zum Erstellen einer externen Vertrauensstellung finden Sie unter Erstellen einer externen Vertrauensstellung.