使用Win 2003轻松建立森林间信任

从管理工具菜单中选择“Active Directory Domains and Trusts”，或者在“运行”或命令行键入：

domain。msc

在根域点右键，选择“属性”，然后选择信任属性，再选择“新信任”启动信任向导。

这个新信任向导是Windows 2003新增的。这个向导指引你创建各种类型的信任，有四种目标类型：一个Windows 2003或Windows 2000域、一个NT 4.0域、一个Kerberos 5.0领域以及其他森林。这个向导的帮助功能提供了关于信任、功能级别以及用户首选名(UPNs)的附加信息。

尽管你使用向导设置信任操作，你还是应该留意如何设置信任，并且在建立信任之前回顾一下确认屏幕。设置信任存在多种可能性，向导也不会推荐某种类型。如果你粗心犯错，你可能得到一个外部信任类型而不是森林信任。例如，如果你选择了一个子域而不是根域的属性，则建立森林信任不会成为选项。

向导的第一步是输入被信任森林的DNS或NetBIOS名。正确完成后，下一个对话框将要求你选择外部信任或森林信任。如果森林信任没有出现，应返回到第一步并使用帮助按钮来确定是什么东西没有正确设置。

我们的例子是要设置双向信任。当你具有另一个森林的管理权时，新信任向导可使你创建两个单向信任来组成双向信任。

接下来两个对话框让你选择是否允许目标森林的所有用户在访问本地森林时自动认证。如果你选择“Allow authentication only for selected resources in the local forest”，Windows 2003不会自动将信任森林的认证用户SID加到被信任森林用户的令牌上；你必须为访问资源分别授权。这个功能称为“选择性认证”。选择性认证更安全，但管理工作量也更大，因为你必须为每个域和服务器单独配置权限，以使其他森林的用户可以访问。