活动目录系列之八：信任（下）

各位好！今天我们来学习一下如何在森林之间实现信任。通过活动目录系列之七：信任（上）的学习，我们知道了信任的含义，也知道在森林内部存在两种不可删除的信任：父子信任、树根信任。这就是之所以我们可以在森林范围内可以无障碍的访问资源和使用资源的原因。但两个不同的森林之间如何能实现上述的这种情况呢？这就是我们今天的话题。

场景：两个森林，一个是net.com域，有子域sub.net.com是父子域，一个是blogcn.com域。我们要实现blogcn.com域信任 net.com域，这样net.com域内的用户可以无需输密码即可访问blogcn.com域的资源，也可以在blogcn.com域内客户机上登录到自己的域。这种情况常出现在两个公司有合作的时候。上述可以分成两种情况：

1. blogcn.com域和子域sub.net.com域存在某种信任关系。-->外部信任

2. blogcn.com森林和net.com森林存在某种信任关系。 ----->林信任

一、blogcn.com域和子域sub.net.com域存在某种信任关系。-->外部信任

这种信任关系只在指定的这两个域之间存在这种信任关系，不会传递到其它域。我们可以直接在二者之间做“外部信任”。

假设blogcn.com----->sub.net.com （即前者信任后者）

完成这种信任后：sub.net.com域内的用户可以在blogcn.com域上登录到自己的域，同时sub.net.com域内的用户可以无需输密码即可访问blogcn.com域的资源。

操作：

我们直接在blogcn.com做单向外传（箭头向外），也可以在sub.net.com上做单向内传（箭头向内）。

1. 在两个域的DNS上作DNS转发，相互指向对应的DNSIP即可。此处就不用再赘述了吧。自己做就可以了。

2. 打开blogcn.com域的“AD域和信任关系”，在blogcn.com域上右击选属性，单击“信任”--新建信任--在信任名称处填写“sub.net.com”，单击下一步，如图所示：