建立單向不可傳遞信任關系

   同一目錄林中的 Windows 2000 域相互之間存在可傳遞的信任關系。 在 Windows 2000 目錄林中，每個樹中的根域之間存在隱式的可傳遞信任關系。 單個樹中所有相鄰的域之間還存在雙向的隱式可傳遞信任關系。 

有時，您可能需要在域之間建立顯式的信任關系。 舉例來說，Microsoft Windows NT 4.0 域和 Windows 2000 域之間就需要這樣的信任關系。 Windows NT 4.0 不能加入與 Windows 2000 域的可傳遞信任關系。 另一個例子是，有時您可能需要不同林中的域彼此互相信任。 

Windows 2000 允許您在域之間建立單向可傳遞信任關系。 如果想在生產目錄林之外的一個目錄林中運行 Microsoft Proxy Server 2.0 或 Microsoft Inte.net Security and Aclearcase/" target="_blank" >cceleration 
(ISA) Server 2000，單向可傳遞信任關系特別有用。 從防火墻域到生產域的單向信任使得內部域中的帳戶受外部域的信任，但不允許生產域信任外部域中的帳戶。 本文介紹如何在域之間建立單向不可傳遞信任關系。 

配置單向信任
請執行下列操作步驟來配置單向信任： 
在受信任域的一個域控制器上，啟動“Active Directory 域和信任關系”控制臺。 
在“信任此域的域”窗格上，單擊添加。 
在添加信任域對話框中，鍵入信任域的名稱，鍵入一個密碼，然后在確認密碼框中再次鍵入該密碼。
單擊確定。 
在 Active Directory 對話框中，單擊確定以驗證此信任關系。 
輸入一個有權修改信任域中的信任關系的用戶的用戶名和密碼。 

您會收到一條消息，指出已添加了該信任域并驗證了信任關系。 
退出“Active Directory 域和信任關系”控制臺。 
在信任域中的一個域控制器上，啟動“Active Directory 域和信任關系”控制臺。 
右鍵單擊信任域并單擊屬性。 
在“受此域信任的域”框中，單擊添加。 
在“添加信任域”對話框中，鍵入受信任域的名稱并鍵入一個密碼，然后在確認密碼框中再次鍵入該密碼。
單擊確定。
備注： DNS 結構必須已存在，以便各個域的域控制器彼此都能找到對方。 您可以使用 Windows NT 4.0 域用戶管理器來配置 Windows NT 4.0 域信任關系。 

返回頁首

創建從 Windows NT 4.0 域到 Windows 2000 域的單向信任關系
按上一節中步驟 1 至 8 的說明，在“Windows 2000 域和信任關系”控制臺中將 Windows NT 4.0 域添加為一個信任域。 
在一個 Windows NT 4.0 域控制器上啟動“域用戶管理器”。
在策略菜單上，單擊信任關系。 
在受信任域窗格中，單擊添加。 
在添加受信任域對話框中的域文本框中鍵入受信任的域，在密碼文本框中鍵入此信任關系的密碼，然后單擊確定。
,

原文轉自：http://www.kjueaiud.com