何时创建外部信任

您可以通过林外部的域创建外部信任以形成单向或双向不可传递的信任。用户需要访问 Windows NT 4.0 域中或位于林信任未加入的单独林中域中的资源时,有时需要外部信任(如下图所示)。

外部信任

当您在特定林中的域和该林外部的域之间建立信任时,来自外部域的安全主体可以访问内部域中的资源。Active Directory 域服务 (AD DS) 在内部域中创建外部安全主体对象以代表来自受信任外部域的每个安全主体。这些外部安全主体可以成为内部域中域本地组的成员。域本地组可以具有来自林的外部域的成员。

外部安全主体的目录对象由 AD DS 创建,并且不要手动修改该对象。您可以通过启用高级功能来查看 Active Directory 用户和计算机管理单元中的外部安全主体对象。(在“查看”菜单上,单击“高级功能”。)

有关如何创建外部信任的详细信息,请参阅创建外部信任

其他参考