Windows Server 2003的信任关系配置

        在Windows Server2003中林之间的信任关系分为：外部信任关系和林信任关系，其中林信任是Windows Server2003中所独有的一种信任机制。

       如果在两上林中建立外部信任关系，如果A信任B域（A--->B），则B域中的帐户就可以在A域中使用并访问资源(A<---B)，而且他们是没有可传递性的，也就是不会将信任传递给下面的子域，那么如果想让信任关系传递给子域那么我们就需要创建林信任关系。

 林信任关系的应用场景：

       企业由于公司兼并，或与业务伙伴的合作，在其网络环境中常常会有两个林或更多。这时建立适当的信任关系将极大地方便用户的访问，而不必去记那么多的用户名和密码了。

案例：

       现有两个公司的将要合并，分别是soft.com和qq.com域，并且均为AD的林根域，现在需要创建soft.com信任qq.com的林信任关系。

具体操作过程如下所示：

一、配置DNS之间相互转发，并且实现DNS域名之间互相通讯，此项必须操作，否则后过  

        程无法继续;

二、提升soft.com和qq.com域和林功能级别；

soft.com域的模式提升，打开＂Acitve Directory域信任关系＂如下图所示

Windows Server 2003域级别提升成功，如下图所示.

Soft.com林模式的提升，如下图所示

选择＂Windows Server 2003＂模式,如下图所示.

选择＂确定＂继续，提示林或域的模式的提升均为不可逆的，如下图所示

致此，通过上面的操作己经完成了对soft.com的域级别和林级别的提升，用同样的方法对qq.com的域模式及林模式进行提升．

三、在soft.com上面创建林信任关系

　　在soft.com中创建信任关系，指定要信任的域，如图所示指定被信任的域为qq.com，下图所示

信任类型中选择“林信任”，如图所示

信任方向中选择“单向,外传”,如图所示

在信任方中选择“这个域和指定的域”，如图所示

在下图中输入qq.com域的用户和密码

传出信任身份验证级---林级别中，选择“全林性身份验证”，如下图所示

接下来是选择信任关系完毕和信任创建完毕，如图所示

选择“是，确认传入信任”单选按钮，如图所示

信任关系创建成功，单击“完成”按钮，如下图所示

在soft.com中创建完林信任后，在林中可以看到如图所示，林信任并且具有可传递性，如下图所示

那么在QQ.com域的信任关系中可以看到时信任的成功创建，如图所示

四、最后验证信任关系，如下图所示为在soft.com域的成员登陆的界面中可以看到使用QQ.com域中的帐户登陆。

本文转自 jankie 51CTO博客，原文链接：http://blog.51cto.com/jankie/34067，如需转载请自行联系原作者