我正在開發使用多森林環境中的活動目錄信息的開發中的應用程序,並且我現在的問題是確定森林信任是否是可傳遞的,如果是,在什麼條件下。Active Directory林是否信任可傳遞?
設置:使用Active Directory 2003,ForestA與ForestB有雙向森林信任。 ForestB與ForestC有雙向森林信任。
在這種情況下,ForestA和ForestC之間是否存在任何形式的信任關係?我發現了一些衝突的信息;這第一個鏈接清楚地表明林信任不可傳遞給其他林:
林信任只能在兩個林之間創建,不能隱式擴展到第三個林。這意味着,如果林1和林2之間創建了一個林信任,也被林2和林3之間創建了一個林信任,林1不會有森林的絕對信任3.
不過,我可以還發現在信任類型列表中的指示林信任是可傳遞:
信託類型:森林 及物:傳遞
在此林信任顯示爲在「傳遞」的頂部通過「Ma」查看時,活動目錄信任列表nage域名和信任「
這是否意味着森林信任是可傳遞的WITHIN信任森林而不是其他森林?因此,在前面提到的情景:
ForestA中 < - >ForestB < - >ForestC
子域名會拿起通過傳遞(所以subdom1 ForestA中林信任會信任office7下。 ForestB),但會有ForestA和ForestB之間共享的訪問。這是正確的,還是讓我對微軟發佈的相當混亂的信息感到困惑?有沒有人有這個他們可以分享的個人經驗?