使用Win 2003轻松建立森林间信任

核心提示： 信任选择完成对话框让你在执行前回顾你的选择，在建立信任之后你将看到这个对话框，使用Win 2003轻松建立森林间信任(6)，向导最后的步骤提供了另一个有用的功能，由于你已经提供了另一个森林的远程凭证，并且不需要内置的管理员权利，由于这个功能委派了向内信任的过程，你可以确认双方的信任，无需额

信任选择完成对话框让你在执行前回顾你的选择。在建立信任之后你将看到这个对话框。向导最后的步骤提供了另一个有用的功能。由于你已经提供了另一个森林的远程凭证，你可以确认双方的信任，无需额外步骤。森林信任成功建立后，向导将关闭，属性簿会在信任类型下显示“forest”，而不是“child”或“external”。

尽管实现森林信任是直截了当的，但是在多森林环境下，一个错误会导致严重后果。因此在实现森林信任之前，应该进行试验练习。

森林信任的限制

森林信任对用户不是完全透明的。如果一个森林不包含一个用户的账号，则该用户在这个森林的一台机器登录时，用户在登录对话框中看不到他的账号域列表，他需要输入他的UPN(例如jimbob＠bigtex。net)。微软使用这个设计是因为在多森林环境下，域之间有时可能存在NetBIOS名称冲突。例如，假设forest1。bigtex。net和forest2。bigtex。net在相同的地域，尽管FQDN(namerica。forest1。bigtex。net和namerica。forest2。bigtex。net)是唯一的，但如果森林没有使用相同的WINS名称空间，它们也许都具有一个NetBIOS名为NAMERICA的域。同样，如果你的森林用户不是登录到Windows 2003 server或Windows XP Service Pack 2(SP2)上，则当用户为本地森林资源增加跨森林用户或组时，将看不到用户或组列表。作为替代，必须输入资源的UPN。图7显示了森林A某资源的ACL，其中加入了森林B的用户。访问控制入口(ACE)使用UPN，而不是传统的域＼账号格式。

另一个与UPN相关的重要考虑是森林名称空间冲突。默认情况下，用户的UPN格式为account＠FQDN。例如，Jim Bob在子域lubbock。bigtex。net中有一个账号，它默认的UPN为jimbob＠lubbock。bigtex。net。你可以使用根域UPN，即jimbob＠bigtex。net。许多公司使用根域的UPN，这样UPN与用户的email地址一致。这在该账号只存在于一个森林中时可以工作，但是如果你在两个以上森林中具有相同账号时会如何呢？公司的每个成员都有一个bigtex。net邮件地址，但在一个森林使用了这个UPN后缀之后，其他森林不能再使用。对于内部，你必须为用户选择唯一的UPN后缀(例如f1。bigtex。net，f2。bigtex。net)。对于外部，你可以为邮件使用bigtex。net。

森林信任是Windows 2003的一个重要新功能，它去除了Windows 2000的许多限制。对于那些需要将分离森林集合到一起的公司，森林信任功能可以降低从Windows 2000升级到Windows 2003的花销。

轻松创建单向信任

一个常见的需要管理员权限的管理工作是建立从资源域到账号域之间的单向信任。这使你可以将用户账号保留在一个中心位置(即被信任域)，然后为信任域中的资源分配权限。Windows Server 2003有一个称为“Incoming Forest Trust Builders”的新组。这个组的成员可以建立指向本地森林的单向信任关系，并且不需要内置的管理员权利。由于这个功能委派了向内信任的过程，因此对于那些希望由其他组分担创建信任工作的组织很有用处。