使用Win 2003轻松建立森林间信任

资源分离是另一个建立分离森林的重要原因。例如，法律代理部门的信息需要分离，受保护的合同也需要分离。一些像银行这样的产业，如果将客户信息共享会受到处罚。

Windows 2000的森林内信任

在Windows 2000的一个森林内，Kerberos安全协议自动建立域间信任关系。Kerberos的一个重要功能是支持信任传递。如果A域信任B域，B域信任C域，则A域自动信任C域。记忆信任传递的简单办法就是记住“你的朋友就是我的朋友”。这个功能使域树的概念成为可能，Kerberos票据自动传递使森林中的一个域可以自动信任其他域。Kerberos在森林中的双向信任也叫“内部信任”。若要更多了解Windows 2000的Kerberos技术，参见微软白皮书“Windows 2000 Kerberos Authentication”(http：／／www.microsoft.com／windows2000／techinfo／howitworks／security／kerberos.asp)。

Windows 2000的森林间信任

森林之外的信任关系更原始一些。在Windows 2000中，Kerberos无法建立跨森林的信任。NT LAN Manager(NTLM)将建立与其他森林的NT 4.0域和Windows 2000域之间的信任关系。这些信任称为“外部信任”(第三种信任，即“快捷信任”，使用Kerberos直接连接两个域树的子域，以提高性能)。

外部信任与NT 4.0信任有相同的限制：外部信任不如Kerberos信任安全，并且不能传递。因此，你很快会陷入和NT 4.0一样的境地，你必须在每个森林的每个域维护信任。

Windows 2003的森林信任

森林信任是连接两个森林根域的一种信任。森林信任使您可以用简单轻松的方式将友好森林绑到一起，比NTLM信任更快、更灵活。由于森林信任用Kerberos替代了NTLM，两个森林之间的信任是可传递的。例如，如果森林A信任森林B，则森林A中的所有域也信任森林B中的所有域。然而，这种信任不在森林间传递，如果森林A信任森林B，森林B信任森林C，森林A并不能自动信任森林C。这和NTLM信任的规则一样，但是它被放大到适合于域森林，和NTLM信任一样，你可以建立单向或双向信任。