两个 Active Directory 林之间存在信任时,每个林的身份验证机制都信任来自其他林的身份验证。信任通过验证传入的身份验证请求是否来自受信任的机构(受信任域),来帮助控制对资源域(信任域)中的共享资源的访问。林之间的信任可以是外部信任或林信任。外部信任存在于 Windows 2000 Server 或 Windows Server 2003 域(无论是哪种功能级别)中,并且它们使用 NTLM 身份验证。林信任可存在于以 Windows Server 2003、Windows Server 2008 或 Windows Server 2008 R2 林功能级别运行的林中。这些信任使用 Kerberos 身份验证。
创建信任
下表列出了为与其他林共享资源而创建信任时可执行的步骤。信任可以是单向的,也可以是双向的,而且可以是传入的,也可以是传出的。
| 步骤 | 参考 | |
|---|---|---|
 |
查看有关创建域和林信任的信息(包括任何已知问题)。 |
创建域和林信任 ( |
|
|
必要时,请完成相应步骤创建外部信任。 |
创建外部信任 ( |
|
|
必要时,请完成相应步骤创建林信任。 |
创建林信任 ( |