答案: 同一目录林中的 Windows 2000 域相互之间存在可传递的信任关系。 在 Windows 2000 目录林中,每个树中的根域之间存在隐式的可传递信任关系。 单个树中所有相邻的域之间还存在双向的隐式可传递信任关系。
有时,您可能需要在域之间建立显式的信任关系。 举例来说,Microsoft Windows NT 4.0 域和 Windows 2000 域之间就需要这样的信任关系。 Windows NT 4.0 不能加入与 Windows 2000 域的可传递信任关系。 另一个例子是,有时您可能需要不同林中的域彼此互相信任。
Windows 2000 允许您在域之间建立单向可传递信任关系。 如果想在生产目录林之外的一个目录林中运行 Microsoft Proxy Server 2.0 或 Microsoft Internet Security and Acceleration
(ISA) Server 2000,单向可传递信任关系特别有用。 从防火墙域到生产域的单向信任使得内部域中的帐户受外部域的信任,但不允许生产域信任外部域中的帐户。 本文介绍如何在域之间建立单向不可传递信任关系。
配置单向信任
请执行下列操作步骤来配置单向信任:
在受信任域的一个域控制器上,启动“Active Directory 域和信任关系”控制台。
在“信任此域的域”窗格上,单击添加。
在添加信任域对话框中,键入信任域的名称,键入一个密码,然后在确认密码框中再次键入该密码。
单击确定。
在 Active Directory 对话框中,单击确定以验证此信任关系。
输入一个有权修改信任域中的信任关系的用户的用户名和密码。
您会收到一条消息,指出已添加了该信任域并验证了信任关系。
退出“Active Directory 域和信任关系”控制台。
在信任域中的一个域控制器上,启动“Active Directory 域和信任关系”控制台。
右键单击信任域并单击属性。
在“受此域信任的域”框中,单击添加。
在“添加信任域”对话框中,键入受信任域的名称并键入一个密码,然后在确认密码框中再次键入该密码。
单击确定。
备注: DNS 结构必须已存在,以便各个域的域控制器彼此都能找到对方。 您可以使用 Windows NT 4.0 域用户管理器来配置 Windows NT 4.0 域信任关系。
返回页首
创建从 Windows NT 4.0 域到 Windows 2000 域的单向信任关系
按上一节中步骤 1 至 8 的说明,在“Windows 2000 域和信任关系”控制台中将 Windows NT 4.0 域添加为一个信任域。
在一个 Windows NT 4.0 域控制器上启动“域用户管理器”。
在策略菜单上,单击信任关系。
在受信任域窗格中,单击添加。
在添加受信任域对话框中的域文本框中键入受信任的域,在密码文本框中键入此信任关系的密码,然后单击确定。
,
上一个:局域网内NAT服务器组建之全攻略
下一个:利用组策略实现软件安全性