信任传递性

传递性确定是否可以将信任扩展到建立信任的两个域之外。您可以使用可传递信任扩展与其他域的信任关系。您可以使用不可传递信任拒绝与其他域的信任关系。

可传递信任

每次您在林中创建新的域时,将自动在新的域及其父域之间创建双向可传递信任关系。如果将子域添加到新的域,则信任路径将向上流入域层次结构,扩展在新域及其父域之间创建的初始信任路径。

建立可传递信任关系时,此信任关系将向上流入域树,在域树中所有域之间创建可传递信任。

身份验证请求将经过这些信任路径。因此,可以在林中的任何其他域中对林中任何域的帐户进行身份验证。通过单一登录过程,具有适当权限的帐户可以访问林中任何域中的资源。

除了在 Windows Server 2008 或 Windows Server 2008 R2 林中建立的默认可传递信任之外,通过使用新建信任向导可以手动创建以下可传递信任:

  • 快捷方式信任:相同域树或林中的域之间的可传递信任,可简化大型和复杂域树或林中的信任路径。

  • 林信任:林根域和辅助林根域之间的可传递信任。

  • 领域信任:Active Directory 域和 Kerberos V5 领域之间的可传递信任。有关 Kerberos V5 领域的详细信息,请参阅 Kerberos V5 身份验证 (https://go.microsoft.com/fwlink/?LinkId=92699)(可能为英文网页)。

下图显示域 A 树和域 1 树之间的双向可传递信任关系。默认情况下,域 A 树中的所有域和域 1 树中的所有域都具有可传递信任关系。因此,为资源分配适当的权限时,域 A 树中的用户可以访问域 1 树中的域中的资源,而域 1 树中的用户也可以访问域 A 树中的资源。

双向可传递信任路径连接域

有关信任类型的详细信息,请参阅了解信任类型

不可传递信任

不可传递信任受信任关系中两个域的限制。此信任不会流入林中的任何其他域。不可传递信任可以是双向信任或单向信任。尽管您还可以通过创建两个单向的信任来创建双向关系,但默认情况下,不可传递信任是单向信任。

总之,不可传递域信任是以下域之间可能存在的唯一信任关系形式:

  • Windows Server 2008 或 Windows Server 2008 R2 域和 Windows NT 域

  • 一个林中的 Windows Server 2008 或 Windows Server 2008 R2 域和另一个林中的域(如果这两个林之间没有建立林信任关系)。

您可以使用新建信任向导手动创建以下不可传递信任:

  • 外部信任:Windows Server 2008 或 Windows Server 2008 R2 域和 Windows NT 域之间、或和另外一个林中的 Windows 2000 域、Windows Server 2003 域、Windows Server 2008 或 Windows Server 2008 R2 域之间的不可传递信任。

  • 领域信任:Active Directory 域和 Kerberos 版本 5 (V5) 领域之间的不可传递信任。有关 Kerberos V5 领域的详细信息,请参阅 Kerberos V5 身份验证 (https://go.microsoft.com/fwlink/?LinkId=92699)(可能为英文网页)。

有关信任类型的详细信息,请参阅了解信任类型

其他参考