使用Win 2003轻松建立森林间信任

核心提示： 森林信任的优点 森林信任的两个优点是跨森林认证和授权，跨森林认证使被信任森林中的用户可以登录到信任森林的机器上，使用Win 2003轻松建立森林间信任(3)，而不用重复创建账号，跨森林授权同样使你可以对被信任森林的用户分配权限，这个信息对于路由认证和查询远程森林是必要的，全局目录(GC)存

森林信任的优点

森林信任的两个优点是跨森林认证和授权。跨森林认证使被信任森林中的用户可以登录到信任森林的机器上，而不用重复创建账号。跨森林授权同样使你可以对被信任森林的用户分配权限，以便他们访问信任森林的资源，同样无需重复账号。这个行为不会危害森林安全边界。

尽管你可以在森林间建立外部信任，但使用基于Kerberos的森林信任极大地减少了森林间所需信任的数量。如果在两个森林的所有域之间建立信任关系，你可以用下面的公式计算所需外部信任的数量。外部信任总数＝(1单向信任或2双向信任)×（森林A中的域数)×（森林B中的域数)。

例如，假设你有一个包含三个域的开发森林(DEV)和一个包含四个域的生产森林(PROD)，你希望跨森林建立所有域之间的双向信任关系。则你需要建立24个信任，既2×3×4。这个数量虽然不便却还可以忍受，但是如果你决定加入一个包含四个域的集成森林(INT)，信任拓扑将更为复杂。你现在有三组信任关系：DEV到PROD，DEV到INT，PROD到INT。这样需维护的信任总数将达到80。

森林信任让你可以实现的一个重要策略就是账号森林配置。一个账号森林本质上是NT 4.0中账号域或资源域配置的放大。要建立账号森林，首先要确保所有账号在主要森林中，然后建立从其他资源森林到主要森林的单向信任(关于建立单向信任的信息，参见附文“轻松创建单向信任”)。用户可以使用主要森林的账号登录到任何联盟森林中。你甚至可以将建立信任的管理权委派给不属于企业管理组的用户。

你也许奇怪，为何Windows 2003的森林信任可以包含其他森林，而Windows 2000的外部信任却不能。在Windows 2003中，信任域对象(TDO)描述了外部信任和森林信任的基本信息。在森林信任中，TDO包含一个称为“森林信任信息”的附加属性。这个属性包含远程森林内所有域的信息，树名称以及可选名称后缀。这个信息对于路由认证和查询远程森林是必要的。全局目录(GC)存储这些信息，因此所有域控制器(DC)都可以查询这些信息。