活动目录服务的基本安装和配置

核心提示： 6.1.3 域间信任关系对于 Windows 2000 计算机，通过基于 Kerberos V5 安全协议的双向、可传递信任关系启用域之间的帐户验证，活动目录服务的基本安装和配置(3)，在域树中创建域时，相邻域(父域和子域)之间自动建立信任关系，这样，可传递信任关系在域树中按其形成的方式向

6.1.3 域间信任关系

对于 Windows 2000 计算机，通过基于 Kerberos V5 安全协议的双向、可传递信任关系启用域之间的帐户验证。

在域树中创建域时，相邻域(父域和子域)之间自动建立信任关系。如图 6.2 中的 root.com 和 child.root.com 之间自动建立信任关系。在域林中，在树林根域和添加到树林的每个域树的根域之间自动建立信任关系。因为这些信任关系是可传递的，所以可以在域树或域林中的任何域之间进行用户和计算机的身份验证。

如果将 Windows 2000 以前版本的 Windows 域升级为 Windows 2000 域时，Windows 2000 域将保留域和任何其他域之间现有的单向信任关系。包括 Windows 2000 以前版本的 Windows 域的所有信任关系。如果用户要安装新的 Windows 2000 域并且希望与任何 Windows 2000 以前版本的域建立信任关系，则必须创建与那些域的外部信任关系。

所有域信任关系都只能有两个域:信任域和受信任域。域信任关系按以下特征进行描述:

§　单向

单向信任是域 A 信任域 B 的单一信任关系。所有的单向关系都是不可传递的，并且所有的不可传递信任都是单向的。身份验证请求只能从信任域传到受信任域。Windows 2000 的域可与以下域建立单向信任:不同树林中的 Windows 2000 域 、Windows NT 4.0 域 、MIT Kerberos V5 领域。

§　双向

Windows 2000 树林中的所有域信任都是双向可传递信任。建立新的子域时，双向可传递信任在新的子域和父域之间自动建立。

§　可传递

Windows 2000 树林中的所有域信任都是可传递的。可传递信任始终为双向:此关系中的两个域相互信任。

可传递信任不受信任关系中的两个域的约束。每次当用户建立新的子域时，在父域和新子域之间就隐含地(自动)建立起双向可传递信任关系。这样，可传递信任关系在域树中按其形成的方式向上流动，并在域树中的所有域之间建立起可传递信任。