Windows 2003 活动目录保护

核心提示： 比如，如果森林A信任森林B，Windows 2003 活动目录保护(5)，森林B又信任森林C，那么森林A 并不会信任森林C，但对方不能访问你的资源；而在信任对方的关系中，你的本地域或森林则可以被对方域或者对方森林访问，除非是管理员手动确立这种信任关系，因此

比如，如果森林A信任森林B，森林B又信任森林C，那么森林A 并不会信任森林C，除非是管理员手动确立这种信任关系。因此，森林内部的信任关系的传递，是一个具有很强能力的特性。如果你的森林包含了多个域，你肯定不希望一个低等级的管理员在未经过你同意的前提下随便建立森林内部的信任关系，因为这会导致很大的安全问题。这就是为什么你只可以在森林根域一级建立信任关系的原因。

使用Windows Server 2003 创建信任关系的一个有趣现象是，你不必创建一个完整的森林内部的信任关系。假设你的业务部门需要与厂商建立一个信任关系，只需要与厂商的一个域建立信任关系即可，而不用一一和厂商的各个部门的域建立这种关系。这种情况下，你所建立的信任关系就被称为一个外部信任。

外部信任是域和域之间的信任关系，它和Windows NT中的信任关系类似。一个外部信任可以令你的森林中的一个域信任另一个森林中的一个域。除了对任何等级的域建立外部信任关系外，外部信任和森林内部信任关系还有一个重要的区别。

这个区别就是，与森林内部信任关系不同，外部信任关系是完全不可以传递的，也就是说信任关系只对管理员手动确立信任关系所涉及的域有效。而这两个森林中的其它域，都不会受到这种信任关系的影响。

不论是森林内部的信任关系还是外部信任关系，都具有双向性，你可以实现双向的信任关系，也可以只设定单向的信任关系。双向的信任关系意味着两个域之间的信任是相互的，而单向的信任关系对于某个域来说，则分为信任对方以及被对方信任。在被对方信任的关系中，你的本地域可以访问对方域或对方森林中的内容，但对方不能访问你的资源；而在信任对方的关系中，你的本地域或森林则可以被对方域或者对方森林访问，反之也不行。