我正在开发使用多森林环境中的活动目录信息的开发中的应用程序,并且我现在的问题是确定森林信任是否是可传递的,如果是,在什么条件下。Active Directory林是否信任可传递?
设置:使用Active Directory 2003,ForestA与ForestB有双向森林信任。 ForestB与ForestC有双向森林信任。
在这种情况下,ForestA和ForestC之间是否存在任何形式的信任关系?我发现了一些冲突的信息;这第一个链接清楚地表明林信任不可传递给其他林:
林信任只能在两个林之间创建,不能隐式扩展到第三个林。这意味着,如果林1和林2之间创建了一个林信任,也被林2和林3之间创建了一个林信任,林1不会有森林的绝对信任3.
不过,我可以还发现在信任类型列表中的指示林信任是可传递:
信托类型:森林 及物:传递
在此林信任显示为在“传递”的顶部通过“Ma”查看时,活动目录信任列表nage域名和信任“
这是否意味着森林信任是可传递的WITHIN信任森林而不是其他森林?因此,在前面提到的情景:
ForestA中 < - >ForestB < - >ForestC
子域名会拿起通过传递(所以subdom1 ForestA中林信任会信任office7下。 ForestB),但会有ForestA和ForestB之间共享的访问。这是正确的,还是让我对微软发布的相当混乱的信息感到困惑?有没有人有这个他们可以分享的个人经验?