信任传递性
传递性确定是否可以将信任扩展到建立信任的两个域之外。您可以使用可传递信任扩展与其他域的信任关系。您可以使用不可传递信任拒绝与其他域的信任关系。
可传递信任
每次您在林中创建新的域时,将自动在新的域及其父域之间创建双向可传递信任关系。如果将子域添加到新的域,则信任路径将向上流入域层次结构,扩展在新域及其父域之间创建的初始信任路径。
建立可传递信任关系时,此信任关系将向上流入域树,在域树中所有域之间创建可传递信任。
身份验证请求将经过这些信任路径。因此,可以在林中的任何其他域中对林中任何域的帐户进行身份验证。通过单一登录过程,具有适当权限的帐户可以访问林中任何域中的资源。
除了在 Windows Server 2008 或 Windows Server 2008 R2 林中建立的默认可传递信任之外,通过使用新建信任向导可以手动创建以下可传递信任:
-
快捷方式信任:相同域树或林中的域之间的可传递信任,可简化大型和复杂域树或林中的信任路径。
-
林信任:林根域和辅助林根域之间的可传递信任。
-
领域信任:Active Directory 域和 Kerberos V5 领域之间的可传递信任。有关 Kerberos V5 领域的详细信息,请参阅 Kerberos V5 身份验证 (
https://go.microsoft.com/fwlink/?LinkId=92699 )(可能为英文网页)。
下图显示域 A 树和域 1 树之间的双向可传递信任关系。默认情况下,域 A 树中的所有域和域 1 树中的所有域都具有可传递信任关系。因此,为资源分配适当的权限时,域 A 树中的用户可以访问域 1 树中的域中的资源,而域 1 树中的用户也可以访问域 A 树中的资源。
有关信任类型的详细信息,请参阅了解信任类型。
不可传递信任
不可传递信任受信任关系中两个域的限制。此信任不会流入林中的任何其他域。不可传递信任可以是双向信任或单向信任。尽管您还可以通过创建两个单向的信任来创建双向关系,但默认情况下,不可传递信任是单向信任。
总之,不可传递域信任是以下域之间可能存在的唯一信任关系形式:
-
Windows Server 2008 或 Windows Server 2008 R2 域和 Windows NT 域
-
一个林中的 Windows Server 2008 或 Windows Server 2008 R2 域和另一个林中的域(如果这两个林之间没有建立林信任关系)。
您可以使用新建信任向导手动创建以下不可传递信任:
-
外部信任:Windows Server 2008 或 Windows Server 2008 R2 域和 Windows NT 域之间、或和另外一个林中的 Windows 2000 域、Windows Server 2003 域、Windows Server 2008 或 Windows Server 2008 R2 域之间的不可传递信任。
-
领域信任:Active Directory 域和 Kerberos 版本 5 (V5) 领域之间的不可传递信任。有关 Kerberos V5 领域的详细信息,请参阅 Kerberos V5 身份验证 (
https://go.microsoft.com/fwlink/?LinkId=92699 )(可能为英文网页)。
有关信任类型的详细信息,请参阅了解信任类型。