保护Windows Server 2003活动目录

核心提示： 最后，让我们回想一下Windows 2000中的AD结构，保护Windows Server 2003活动目录(5)，每个森林都有一个根域，并且其它所有的域都依存在这个根域之下，也就是说信任关系只对管理员手动确立信任关系所涉及的域有效，而这两个森林中的其它域，在Windows Server

最后，让我们回想一下Windows 2000中的AD结构，每个森林都有一个根域，并且其它所有的域都依存在这个根域之下。在Windows Server 2003中，只可以自根域创建内部信任关系，因为森林内部的信任关系在域一级上是可以传递的。这意味着假如你在森林A和森林B之间确立的信任关系，那么森林A中的所有域都会信任森林B中的所有域，反之亦然。不过在森林级别上，信任关系是不能传递的。

比如，如果森林A信任森林B，森林B又信任森林C，那么森林A 并不会信任森林C，除非是管理员手动确立这种信任关系。因此，森林内部的信任关系的传递，是一个具有很强能力的特性。如果你的森林包含了多个域，你肯定不希望一个低等级的管理员在未经过你同意的前提下随便建立森林内部的信任关系，因为这会导致很大的安全问题。这就是为什么你只可以在森林根域一级建立信任关系的原因。

使用Windows Server 2003 创建信任关系的一个有趣现象是，你不必创建一个完整的森林内部的信任关系。假设你的业务部门需要与厂商建立一个信任关系，只需要与厂商的一个域建立信任关系即可，而不用一一和厂商的各个部门的域建立这种关系。这种情况下，你所建立的信任关系就被称为一个外部信任。

外部信任是域和域之间的信任关系，它和Windows NT中的信任关系类似。一个外部信任可以令你的森林中的一个域信任另一个森林中的一个域。除了对任何等级的域建立外部信任关系外，外部信任和森林内部信任关系还有一个重要的区别。

这个区别就是，与森林内部信任关系不同，外部信任关系是完全不可以传递的，也就是说信任关系只对管理员手动确立信任关系所涉及的域有效。而这两个森林中的其它域，都不会受到这种信任关系的影响。