可以使用 Active Directory 域和信任关系管理单元在域之间创建信任关系。
Domain Admins 或 Enterprise Admins 中的成员身份或等效身份是完成此过程所需的最低要求。 查看有关使用适当帐户和组成员关系的详细信息,请访问
 | 创建林信任的步骤 |
打开“Active Directory 域和信任关系”。若要打开“Active Directory 域和信任关系”,请依次单击“开始”、“管理工具”和“Active Directory 域和信任关系”。
在控制台树中,右键单击要管理的域,然后单击“属性”。
在“信任”选项卡上,单击“新建信任”,然后单击“下一步”。
在“信任名称”页面上,键入域的域名系统 (DNS) 名称(或 NetBIOS 名称),然后单击“下一步”。
在“信任类型”页面上,单击“林信任”,然后单击“下一步”。
在“信任方向”页面上,执行下列任一操作:
-
若要创建双向林信任,请单击“双向”。
该林中的用户和指定林中的用户都将可以访问任意一个林中的资源。
-
若要创建单向传入林信任,请单击“单向:传入”。
指定林中的用户将无法访问此林中的任何资源。
-
若要创建单向传出林信任,请单击“单向:传出”。
此林中的用户将无法访问指定林中的任何资源。
-
若要创建双向林信任,请单击“双向”。
继续按照向导中的说明执行操作。
其他注意事项
-
若要执行此过程,您必须是 Active Directory 域服务 (AD DS) 中 Domain Admins 组或 Enterprise Admins 组的成员,或者您必须被委派了适当的权限。作为安全性最佳操作,请考虑使用“运行身份”来执行此过程。有关详细信息,请在“帮助和支持”中搜索“使用运行身份”。
-
如果具有每个林的相应管理凭据,则可以通过单击“信任方”页面上的“这个域和指定域”来同时创建双方林信任。
-
如果您希望指定林中的用户可以访问本地林中的所有计算机,请在“传出信任属性”页面上单击“全林性身份验证”。两个林都属于相同组织时,此选项为首选。
-
如果您需要选择性地对指定林中的特定用户和组进行限制身份验证,请在“传出信任属性”页面上单击“选择性身份验证”。如果指定的林属于单独的组织,则此选项为首选。
-
除了创建新的信任之外,您可以通过单击“信任”选项卡修改现有信任。