可以使用 Active Directory 域和信任关系管理单元创建领域信任。
Domain Admins 或 Enterprise Admins 中的成员身份或等效身份是完成此过程所需的最低要求。 查看有关使用适当帐户和组成员关系的详细信息,请访问
创建领域信任
 | 使用 Windows 界面创建领域信任的步骤 |
打开“Active Directory 域和信任关系”。若要打开“Active Directory 域和信任关系”,请依次单击“开始”、“管理工具”和“Active Directory 域和信任关系”。
在控制台树中,右键单击要管理的域,然后单击“属性”。
在“信任”选项卡上,单击“新建信任”,然后单击“下一步”。
在“信任名称”页面中,键入目标领域的领域名称,然后单击“下一步”。
在“信任类型”页面上,选择“领域信任”选项,然后单击“下一步”。
在“信任传递”页面上,执行下列任一操作:
-
若要域和指定领域之间形成信任关系,请单击“不可传递”,然后单击“下一步”。
-
若要域和指定领域及所有受信领域之间形成信任关系,请单击“可传递”,然后单击“下一步”。
-
若要域和指定领域之间形成信任关系,请单击“不可传递”,然后单击“下一步”。
在“信任方向”页面上,执行下列任一操作:
-
若要创建双向领域信任,请单击“双向”。
该域中的用户和指定领域中的用户将可以访问任意一个域或领域中的资源。
-
若要创建单向传入领域信任,请单击“单向:传入”。
指定领域中的用户将无法访问此域中的任何资源。
-
若要创建单向传出领域信任,请单击“单向:传出”。
该域中的用户将无法访问指定领域中的任何资源。
-
若要创建双向领域信任,请单击“双向”。
继续按照向导中的说明执行操作。
其他注意事项
-
若要执行此过程,您必须是 Active Directory 域服务 (AD DS) 中 Domain Admins 组或 Enterprise Admins 组的成员,或者您必须被委派了适当的权限。作为安全性最佳操作,请考虑使用“运行身份”来执行此过程。有关详细信息,请在“帮助和支持”中搜索“使用运行身份”。
其他参考
| 使用命令行创建领域信任的步骤 |
打开命令提示符。若要打开命令提示符,请依次单击“开始”和“运行”,再键入 cmd,然后单击“确定”。
键入以下命令,然后按 Enter:
netdom trust <TrustingDomainName> /d:<TrustedDomainName> /add /realm /PasswordT:<NewRealmTrustPassword>
| 参数 | 描述 |
|---|---|
|
netdom trust |
管理或验证域间的信任关系。 |
|
<TrustingDomainName> |
在新的领域信任中指定信任域的域名系统 (DNS) 名称。 |
|
/d: |
指定随后的 DNS 域名是受信域。 |
|
<TrustedDomainName> |
指定将在新的领域信任中受信任的域的 DNS 名称。 |
|
/add |
指定已创建信任。 |
|
/realm |
表示要为非 Windows Kerberos 领域创建信任。 |
|
/PasswordT: |
指定新的信任密码。只有在其中一个指定的域为非 Windows Kerberos 领域时,此参数才有效。 |
|
<NewRealmTrustPassword> |
指定新领域信任的信任密码。此密码必须与 Kerberos 领域中使用的密码相匹配。 |
若要查看此命令的完整语法以及有关输入用户帐户信息的信息,请在命令提示符下键入以下命令,然后按 Enter:
netdom trust | more
其他注意事项
-
若要执行此过程,您必须是 AD DS 中 Domain Admins 组或 Enterprise Admins 组的成员,或者您必须被委派了适当的权限。作为安全性最佳操作,请考虑使用“运行身份”来执行此过程。有关详细信息,请在“帮助和支持”中搜索“使用运行身份”。可以验证快捷方式信任、外部信任和林信任,但不能验证领域信任。
-
可以使用其他参数来分配密码或确定信任方向。例如,若要使前一个信任成为双向可传递信任,请使用以下语法:
netdom trust <TrustingDomainName> /d:<TrustedDomainName> /add /realm /twoway