我正在对正在开发的应用程序进行故障排除,该应用程序在多林环境中使用来自 Active Directory 的信息,我目前的问题是确定林信任是否是可传递的,如果是在什么条件下传递。
设置:使用 Active Directory 2003,ForestA与ForestB具有双向林信任。 ForestB与ForestC具有双向森林信任。
在这种情况下,ForestA 和 ForestC 之间是否存在某种信任关系?我发现了一些相互矛盾的信息;第一个链接清楚地表明森林信任不传递到其他森林:
林信任只能在两个林之间创建,不能隐式扩展到第三个林。这意味着,如果在林 1 和林 2 之间创建了林信任,并且在林 2 和林 3 之间也创建了林信任,则林 1 将不会与林 3 建立隐式信任。
但是,我还可以在信任类型列表中找到森林信任是可传递的指示:
信任类型:森林传递性:传递性
当通过“管理域和信任”查看时,在此林信任的顶部,在 Active Directory 信任列表中显示为“可传递”
这是否意味着森林信任在信任森林内是可传递的,但不能传递到其他森林?所以在前面提到的场景中:
森林A <->森林B <->森林C
子域将通过传递性获得森林信任(因此 subdom1. ForestA将信任 office7. ForestB )但ForestA和ForestB之间将共享访问权限。这是正确的,还是我对微软发布的相当混乱的信息感到困惑?有没有人有这方面的亲身经历可以分享?