活动目录服务的基本安装和配置

    6.1.3 域间信任关系

　　对于 Windows 2000 计算机，通过基于 Kerberos V5 安全协议的双向、可传递信任关系启用域之间的帐户验证。

　　在域树中创建域时，相邻域（父域和子域）之间自动建立信任关系。如图 6.2 中的 root.com 和 child.root.com 之间自动建立信任关系。在域林中，在树林根域和添加到树林的每个域树的根域之间自动建立信任关系。因为这些信任关系是可传递的，所以可以在域树或域林中的任何域之间进行用户和计算机的身份验证。

　　如果将 Windows 2000 以前版本的 Windows 域升级为 Windows 2000 域时，Windows 2000 域将保留域和任何其他域之间现有的单向信任关系。包括 Windows 2000 以前版本的 Windows 域的所有信任关系。如果用户要安装新的 Windows 2000 域并且希望与任何 Windows 2000 以前版本的域建立信任关系，则必须创建与那些域的外部信任关系。

　　所有域信任关系都只能有两个域：信任域和受信任域。域信任关系按以下特征进行描述：

　　§　单向
　　单向信任是域 A 信任域 B 的单一信任关系。所有的单向关系都是不可传递的，并且所有的不可传递信任都是单向的。身份验证请求只能从信任域传到受信任域。Windows 2000 的域可与以下域建立单向信任：不同树林中的 Windows 2000 域 、Windows NT 4.0 域 、MIT Kerberos V5 领域。
　　§　双向
　　Windows 2000 树林中的所有域信任都是双向可传递信任。建立新的子域时，双向可传递信任在新的子域和父域之间自动建立。
　　
　　§　可传递

　　Windows 2000 树林中的所有域信任都是可传递的。可传递信任始终为双向：此关系中的两个域相互信任。

　　可传递信任不受信任关系中的两个域的约束。每次当用户建立新的子域时，在父域和新子域之间就隐含地（自动）建立起双向可传递信任关系。这样，可传递信任关系在域树中按其形成的方式向上流动，并在域树中的所有域之间建立起可传递信任。

　　如图6.3中因为域 1 和域 2 有可传递信任关系，域 2 和域 3 有可传递信任关系，所以域 3 中的用户（在获得相应权限时）可访问域 1 中的资源。因为域 1 和域 A 具有可传递信任关系，

　　并且域 A 的域树中的其他域和域 A 具有可传递信任关系，所以域 B 中的用户（当授与适当权限时）可访问域 3 中的资源。
　　
　　§　不可传递
　　不可传递信任受信任关系中的两个域的约束，并不流向树林中的任何其他域。在大多数情况下，用户必须明确建立不可传递信任。在 Windows 2000 域和 Windows NT 域之间的所有信任关系都是不可传递的。从 Windows NT 升级至 Windows 2000 时，目前所有的 Windows NT 信任都保持不动。在混和模式环境中，所有的 Windows NT 信任都是不可传递的。不可传递信任默认为单向信任关系。

　　§　外部信任
　　外部信任创建了与树林外部的域的信任关系。创建外部信任的优点在于使用户可以通过树林的信任路径不包含的域进行身份验证。所有的外部验证都是单向非转移的信任

　　§　快捷信任
　　快捷信任是双向可传递的信任，使用户可以缩短复杂树林中的路径。Windows 2000 同一树林中域之间的快捷信任是明确创建的。快捷信任具有优化的性能，能缩短与 Windows 2000 安全机制有关的信任路径以便进行身份验证。在树林中的两个域树之间使用快捷信任是最有效的。