Active Directory 林信任是否具有传递性？

Question

我正在对正在开发的应用程序进行故障排除，该应用程序在多林环境中使用来自 Active Directory 的信息，当前的问题是确定林信任是否具有传递性，如果是，则在什么条件下传递。

设置：使用 Active Directory 2003，ForestA 与 ForestB 建立双向林信任。 ForestB 与 ForestC 具有双向林信任。

在这种情况下，ForestA 和 ForestC 之间是否存在某种信任关系？ 我发现了一些相互矛盾的信息； 第一个链接清楚地表明林信任不可传递到其他林：

林信任< /a>

林信任只能在两个林之间创建，不能隐式扩展到第三个林。 这意味着，如果在林 1 和林 2 之间创建了林信任，并且在林 2 和林 3 之间也创建了林信任，则林 1 不会与林 3 产生隐式信任。

不过，我也可以在信任类型列表，表明林信任具有传递性：

信任类型

信托类型：森林 传递性：传递

在通过“管理域和信任”查看时，在此林之上，信任在活动目录信任列表中显示为“传递”

这是否意味着林信任在信任林中具有传递性但不去其他森林？ 所以在前面提到的场景中：

ForestA <-> 森林B <-> ForestC

子域将通过传递性获取林信任（因此 subdom1.ForestA 将信任 office7.ForestB），但ForestB之间将共享访问权限strong>森林A和森林B。 这是正确的吗，还是我对微软发布的相当混乱的信息感到困惑？ 有没有人有这方面的个人经验可以分享？

Answer 1

具体来说，我认为微软的传递林信任中的“传递”是针对每个林内的域，而不是林到林到林。

例如，

森林 1 具有根域 A 和两个子域 B 和 C
具有根域 X 和两个子域 Y 和 Z 的林 2

具有传递林信任的域 Z 将自动信任域 C，无需创建直接信任链接（快捷信任）。

Answer 2

对三个域的测试表明来自林信任的信息是正确的； 当我在配置 ForestA <-> 中设置三个森林时 森林B<-> ForestC ForestA 无法看到来自 ForestC 的任何凭证。

Answer 3

跨林信任不具有传递性。 父/子域/树信任是...

http: //technet.microsoft.com/en-us/library/cc773178(WS.10).aspx

Answer 4

NT 4 域信任不能以这种方式传递。 不确定AD。