Active Directory林信任是否可传递?
-
04-07-2019 - |
题
我正在努力解决正在开发的应用程序在多林环境中使用来自Active Directory的信息的问题,我目前的问题是确定森林信任是否具有传递性,如果是的话,在什么条件下。
设置:使用Active Directory 2003, ForestA 具有 ForestB 的双向林信任。 ForestB 具有 ForestC 的双向林信任。
在这种情况下,ForestA和ForestC之间是否存在任何形式的信任关系?我发现了一些相互矛盾的信息;第一个链接清楚地表明森林信任不能转移到其他森林:
林信任只能在两个林之间创建,不能隐式扩展到第三个林。这意味着,如果在林1和林2之间创建林信任,并且还在林2和林3之间创建了林信任,则林1将不具有对林3的隐式信任。
但是,我也可以在信任类型列表中找到森林信任是可传递的指示:
信任类型:森林 及物性:传递性
在此森林信任之上显示为<!> quot; transitive <!> quot;通过<!>来查看活动目录信任列表;管理域和信任<!>“
这是否意味着林信任是传递 WITHIN 信任林而不是其他森林?所以在前面提到的场景中:
ForestA <!> lt; - <!> gt; ForestB <!> lt; - <!> gt;的 ForestC 强>
子域名将通过传递性获取森林信任(因此subdom1。 ForestA 将信任office7。 ForestB )但是 ForestA 之间将共享访问权限strong>和 ForestB 。这是正确的,还是让我对微软发布的相当令人困惑的信息感到困惑?有没有人可以分享他们的个人经验?
解决方案
具体来说,我相信<!> quot; transitive <!> quot; Microsoft的Transitive Forest Trusts适用于每个林中的域,而不是森林到林到林。
E.g。
具有根域A的林1和两个子域B和C 具有根域X的林2和两个子域Y和Z
使用传递林信任域,Z会自动信任域C,而无需创建直接信任链接(快捷方式信任)。
其他提示
使用三个域进行测试显示来自林信托的信息正确;当我在配置ForestA <!> lt; - <!> gt;中设置三个林时ForestB <!> lt; - <!> gt; ForestC ForestA无法从ForestC中看到任何凭据。
跨森林信托不是传递性的。父/子Doman /树信托是......
http://technet.microsoft.com/ EN-US /库/ cc773178(WS.10)的.aspx
NT 4域信任以这种方式不可传递。不确定AD。