使用Win 2003轻松建立森林间信任

核心提示：Windows 2000使公司可以将不同的商业单元集成到一个统一的结构中，这个结构就是活动目录森林，使用Win 2003轻松建立森林间信任，这在Windows NT 4.0中是不可能的，许多在NT 4.0域中不能共存的商业单元现在可以在活动目录的组织单元(OUs)或域中和平共处，如果你要频繁更改架构，你应该在分离的森林

Windows 2000使公司可以将不同的商业单元集成到一个统一的结构中，这个结构就是活动目录森林，这在Windows NT 4.0中是不可能的。许多在NT 4.0域中不能共存的商业单元现在可以在活动目录的组织单元(OUs)或域中和平共处。但是正如一些使用单 森林结构的人所说，也存在一些商业单元不能共处的场合。有时商业需求或政治原因要求您实现分离的森林。在许多情况下，分离森林中的用户仍然需要访问中心森林中的资源。因此，你需要在中心森林和其他森林之间建立信任关系。Windows 2003在不同森林域之间建立信任关系的方法与NT 4.0一致。但是Windows Server 2003新的森林信任功能使其变得更简单。

多森林范例

从信息安全的角度观察，域不仅是安全边界，而且还是复制与管理的边界。根域管理员组、域管理员组和企业管理员组的成员可以轻易地访问森林中的任何机器。将资源真正隔离的唯一办法就是将它们放入分离的森林中。

我们不需要放弃只建立单森林的想法，但我们需要改变一下，即：将森林数量控制在最小，并且只在必需时增加森林。关于如何确定是否创建森林的标准，参见微软白皮书“Design Considerations for Delegation of Administration in Active Directory”(http：／／www.microsoft.com／windows2000／techinfo／planning／activedirectory／addeladmin.asp)。这个白皮书清晰地说明了OU、域和森林之间的安全边界，并说明了如何确定是否将商业单元放入分离森林的过程。

什么时候需要分离的森林呢？这在几种情形下需要。最常见的情形是需要保证管理自治(相当于“我不信任您”)。另一种情形是主体的商业单元自己运行Windows 2000森林，并且不能立即更新，由于这个森林还需要一段时间，因此你需要找到与它共存的方法。还有一种情形与森林架构有关，请记住架构(例如AD结构定义)在整个森林中共享，如果你要频繁更改架构，你应该在分离的森林中做这些事情，这样只在需要时更改中心森林架构。