您可以使用 [Active Directory 網域及信任] 嵌入式管理單元建立領域信任。
若要完成此程序,至少需要 Domain Admins 或 Enterprise Admins 的成員資格或同等權限。 請參閱有關使用適當帳戶與群組成員資格的詳細資料,網址位於:
建立領域信任
 | 使用 Windows 介面建立領域信任 |
開啟 [Active Directory 網域及信任]。若要開啟 [Active Directory 網域及信任],請依序按一下 [開始]、[系統管理工具],然後按一下 [Active Directory 網域及信任]。
在主控台樹狀目錄中,請在想要管理的網域上按一下滑鼠右鍵,然後按一下 [內容]。
在 [信任] 索引標籤上,按一下 [新增信任],然後按一下 [下一步]。
在 [信任名稱] 頁面上,輸入目標領域的領域名稱,然後按一下 [下一步]。
在 [信任類型] 頁面上,選取 [領域信任] 選項,然後按一下 [下一步]。
在 [信任轉移] 頁面上,執行下列其中一項:
-
若要形成網域與指定領域的信任關係,按一下 [非轉移],然後按一下 [下一步]。
-
若要形成網域與指定領域以及所有信任領域的信任關係,按一下 [可轉移],然後按一下 [下一步]。
-
若要形成網域與指定領域的信任關係,按一下 [非轉移],然後按一下 [下一步]。
在 [信任方向] 頁面上,執行下列其中一項:
-
若要建立雙向領域信任,按一下 [雙向]。
這個網域中的使用者和指定領域中的使用者將可以存取任一網域或領域中的資源。
-
若要建立單向連入領域信任,按一下 [單向:連入]。
指定領域中的使用者將無法存取這個網域中的任何資源。
-
若要建立單向連出領域信任,按一下 [單向:連出]。
此網域中的使用者將無法存取指定領域中的任何資源。
-
若要建立雙向領域信任,按一下 [雙向]。
依照精靈中的指示繼續執行。
其他考量
-
若要執行此程序,您必須是 Active Directory 網域服務 (AD DS) 中 Domain Admins 群組或 Enterprise Admins 群組的成員,或是已委派適當的授權。依安全性最佳作法,請考慮使用 [執行身分] 執行此程序。如需相關資訊,請搜尋「說明及支援」中的「使用執行身分」。
其他參考資料
| 使用命令列建立領域信任 |
開啟命令提示字元。若要開啟命令提示字元,請依序按一下 [開始] 及 [執行] 後,輸入 cmd,然後按一下 [確定]。
輸入下列命令,再按 ENTER 鍵:
netdom trust <TrustingDomainName> /d:<TrustedDomainName> /add /realm /PasswordT:<NewRealmTrustPassword>
| 參數 | 描述 |
|---|---|
|
netdom trust |
管理或確認網域之間的信任關係。 |
|
<TrustingDomainName> |
指定新領域信任中信任網域的網域名稱系統 (DNS) 名稱。 |
|
/d: |
指定隨後的 DNS 網域名稱是受信任的網域。 |
|
<TrustedDomainName> |
指定新領域信任中受信任網域的 DNS 名稱。 |
|
/add |
指定要建立信任。 |
|
/realm |
表示要對非 Windows Kerberos 領域建立信任。 |
|
/PasswordT: |
指定新信任密碼。只在指定的其中一個網域為非 Windows Kerberos 領域時,這個參數才有效。 |
|
<NewRealmTrustPassword> |
指定新領域信任的信任密碼。此密碼必須符合在 Kerberos 領域中使用的密碼。 |
若要檢視此命令的完整語法,以及輸入使用者帳戶資訊的相關資訊,請在命令提示字元中輸入下列命令,然後按 ENTER:
netdom trust | more
其他考量
-
若要執行此程序,您必須是 AD DS 中 Domain Admins 群組或 Enterprise Admins 群組的成員,或是已委派適當的授權。依安全性最佳作法,請考慮使用 [執行身分] 執行此程序。如需相關資訊,請搜尋「說明及支援」中的「使用執行身分」。您可以確認捷徑信任、外部信任和樹系信任,但無法確認領域信任。
-
您可以使用其他參數來指定密碼或判斷信任方向。例如,若要讓之前的信任為雙向、可轉移的信任,請使用下列語法:
netdom trust <TrustingDomainName> /d:<TrustedDomainName> /add /realm /twoway