Wanneer maakt u een externe vertrouwensrelatie

U kunt een externe vertrouwensrelatie maken als u een niet-transitieve een- of tweerichtingsvertrouwensrelatie tot stand wilt brengen met domeinen die buiten het forest liggen. Externe vertrouwensrelaties zijn soms noodzakelijk wanneer gebruikers toegang moeten hebben tot bronnen in een Windows NT 4.0-domein of in een domein in een afzonderlijk forest dat geen deel uitmaakt van een forest-vertrouwensrelatie (zie de volgende afbeelding voor een voorbeeld).

Wanneer u een vertrouwensrelatie tot stand brengt tussen een domein in een bepaald forest en een domein buiten dat forest, hebben beveiligings-principals uit het externe domein toegang tot bronnen in het interne domein. In AD DS (Active Directory Domain Services) wordt voor elke beveiligings-principal uit het vertrouwde externe domein een extern beveiligings-principalobject gemaakt in het interne domein. Deze externe beveiligings-principalobjecten kunnen lid worden van domeingebonden groepen in het interne domein. Domeingebonden groepen kunnen leden bevatten uit domeinen buiten het forest.

Active Directory-objecten voor externe beveiligings-principals worden gemaakt in AD DS en mogen niet handmatig worden gewijzigd. U kunt externe beveiligings-principalobjecten bekijken door de geavanceerde opties van de module Active Directory: gebruikers en computers in te schakelen. (Klik in het menuBeeld op Geavanceerde opties.)

Zie Een externe vertrouwensrelatie tot stand brengen voor meer informatie over het tot stand brengen van een externe vertrouwensrelatie.