我正在努力解决正在开发的应用程序在多林环境中使用来自Active Directory的信息的问题,我目前的问题是确定森林信任是否具有传递性,如果是的话,在什么条件下。< / p>
设置:使用Active Directory 2003, ForestA 具有 ForestB 的双向林信任。 ForestB 具有 ForestC 的双向林信任。
在这种情况下,ForestA和ForestC之间是否存在任何形式的信任关系?我发现了一些相互矛盾的信息;第一个链接清楚地表明森林信任不能转移到其他森林:
林信任只能在两个林之间创建,不能隐式扩展到第三个林。这意味着,如果在林1和林2之间创建林信任,并且还在林2和林3之间创建了林信任,则林1将不具有对林3的隐式信任。
但是,我也可以在信任类型列表中找到森林信任是可传递的指示:
信任类型:森林 及物性:传递性
在此森林信任之上,当通过“管理域和信任”查看时,信任在活动目录信任列表中显示为“传递”
这是否意味着林信任是传递 WITHIN 信任林而不是其他森林?所以在前面提到的场景中:
ForestA &lt; - &gt; ForestB &lt; - &gt;的 ForestC
子域名将通过传递性获取森林信任(因此subdom1。 ForestA 将信任office7。 ForestB )但是 ForestA 之间将共享访问权限strong>和 ForestB 。这是正确的,还是让我对微软发布的相当令人困惑的信息感到困惑?有没有人可以分享他们的个人经验?
答案 0 :(得分:1)
使用三个域进行测试表明来自forest trusts的信息是正确的;当我在配置ForestA&lt; - &gt;中设置三个森林时ForestB&lt; - &gt; ForestC ForestA无法从ForestC中看到任何凭据。
答案 1 :(得分:1)
具体来说,我认为Microsoft的Transitive Forest Trusts中的“传递”是针对每个林中的域而不是森林到林到林。
E.g。
具有根域A的林1和两个子域B和C 具有根域X的林2和两个子域Y和Z
使用传递林信任域,Z会自动信任域C,而无需创建直接信任链接(快捷方式信任)。
答案 2 :(得分:1)
跨森林信托不是传递性的。父/子Doman /树信托是......
http://technet.microsoft.com/en-us/library/cc773178(WS.10).aspx
答案 3 :(得分:-1)
NT 4域信任以这种方式不可传递。不确定AD。