Active Directory--域信任关系

Active Directory创建可传递的林信任在实战详解域信任关系中，我们介绍了如何创在两个域之间创建域信任关系。

实战的结果是我们在和之间成功创建了信任关系，达到了预期目的。

但我们打开域控制器上的Active Directory域和信任工具，可以从下图中发现，和之间的信任关系是不可传递的！这个要引起我们的关注。

如果域之间的信任关系是可以传递的，那我们就可以推论只要A信任B，B 信任C，那么A必然信任C。

但是域信任关系如果是不可传递的，那就会导致A 和C之间没有任何信任关系，必须手工创建A和C之间的信任关系。

显然，在多域的条件下，如果域的数量较多，信任关系的不可传递会给我们带来很多效率上的麻烦。

例如我们可以计算一下，如果有20个域，每两个域之间都要创建双向信任关系，那我们就至少要创建20*19/2=190次信任关系，这显然也太啰嗦了！微软对域信任关系的不可传递也给出了相应的解决方法，从Win2000开始，微软推出了域树和域林的概念。

凡是在同一域树内的域，都会自动创建出双向可传递的信任关系。

同一个域林内的域，也会自动创建双向可传递的信任关系。

当微软发布Win2003时，微软又推出了林信任的概念，也就是说可以在两个林之间创建可传递的信任关系，把可传递的信任关系从一个林推广到了多个林。

我们看到这儿时，要回忆一下实战详解域信任关系这篇文章中的拓扑图。

拓扑如下图所示，我们会忽然意识到和就是分别在一个单独的域林内，他们之间是域林间的关系，那我们为什么不能在这两个域之间创建可传递的林信任呢？回忆一下创建信任关系的过程，没有发现可以创建可传递的林信任啊，为什么呢？其实问题很简单，由于可传递的林信任只有Win2003才可以支持，因此我们必须把林功能级别和域功能级别都提升到Win2003，这样才可以使用可传递的林信任这个高级特性。

我们在Florence上为大家介绍如何提升域功能级别和林功能级别，在Florence上打开Active Directory域和信任关系，如下图所示，右键点击，选择“提升域功能级别”。

active directory的概念Active Directory（AD）是由微软开发的一种目录服务。

它是用于在网络环境中管理和组织网络资源的一种基于域的层次结构。

AD的概念可以从以下几个方面进行阐述：1. 域的概念：域是AD中最基本的逻辑结构单元，它是一个安全边界，类似于一个边界防火墙。

域可以包含用户、计算机、组织单位等多种对象，并且提供了集中管理和控制这些对象的能力。

2. 目录服务的概念：目录服务是一种描述和组织网络资源的方式，类似于电话号码簿或黄页。

它提供了一种将网络资源分层和分类的方法，使得用户可以更方便地访问和管理这些资源。

3. 组织单位（OU）的概念：OU是AD中的一个组织单位，它用于将不同类型的对象进行逻辑划分和组织。

通过OU，管理员可以根据需要创建各种组织结构，方便地对其内部的对象进行管理和控制。

4. 权限和访问控制的概念：AD提供了强大的权限和访问控制机制，可以对对象进行细粒度的权限控制。

管理员可以通过AD设置访问规则和策略，限制用户对资源的访问权限，确保安全性和合规性。

5. 多域环境的概念：AD支持多域环境，可以在一个AD林（forest）中创建多个域。

不同域之间可以建立信任关系，使得用户或计算机可以跨域访问资源。

接下来，我们来一步一步回答关于AD的一些常见问题。

Q1：什么是域？域是AD中最基本的逻辑单位，相当于一个边界防火墙。

它提供了集中管理和控制网络资源的能力。

域可以包含用户、组织单位、计算机等多种对象。

域之间可以建立信任关系，使得用户可以跨域访问资源。

Q2：什么是目录服务？目录服务是一种描述和组织网络资源的方式，类似于电话号码簿或黄页。

它提供了将资源分层和分类的方法，方便用户访问和管理这些资源。

Q3：什么是组织单位（OU）？组织单位是AD中的一个组织单元，用于将不同类型的对象进行逻辑划分和组织。

通过OU，管理员可以方便地对其内部的对象进行管理和控制。

Q4：AD如何实现权限和访问控制？AD提供了强大的权限和访问控制机制，可以对对象进行细粒度的权限控制。

信任关系不同域之间要能互访，需要域之间存在信任关系。

信任关系分为可传递信任和非可传递信任。

可传递信任：任何一个域被加入到域目录树后，这个域都会自动信任父域，同时父域也会自动信任这个新域，而且这些信任关系具备双向传递性。

为了解决用户跨域访问资源的问题，可以在域之间引入信任，有了信任关系，域A的用户想要访问B域中的资源，让域B信任域A就行了。

信任关系分为单向和双向，如图所示。

图中①是单向的信任关系，箭头指向被信任的域，即域A信任域B，域A称为信任域，域B被称为被信任域，因此域B的用户可以访问域A中的资源。

图中②是双向的信任关系，域A信任域B的同时域B也信任域A，因此域A的用户可以访问域B的资源，反之亦然。

在域树中，父域和子域的信任关系是双向可传递的，因此域树中的一个域隐含地信任域树中所有的域。

另一种可传递信任不是默认的，可以通过在不同林根域之间建立信任关系来实现，如P53图2-71。

在域之间建立信任关系时，注意信任传递带来的隐含信任，如图2-72。

非可传递信任：非可传递信任的域之间必须通过手动创建信任，才能实现域间资源访问。

可以创建的有：●Server 2003/2008域与NT域●Server 2003/2008域与另一个林中的Server 2003/2008域（当两个林之间没有林信任关系时）●Server 2003/2008域与2000域●Active Directory域与Kerberos V5域操作：为两个域创建信任关系（TrustRelationship.exe）。

在两域间创建信任关系，需要满足能对两域进行解析。

所以首先在DNS服务器上进行区域的创建，并允许区域传送。

参考P55设置信任关系。

通过对域间资源访问进行验证。

Windows域信任关系建立全攻略操作环境：windows 2000的两个独立域 与。

的网段为192.168.0.x， 域管理所在的IP为192.168.0.1，机器名为aa。

的网段为192.168.3.x，域管理所在的IP为192.168.3.1，机器名为bb。

两个域用VPN建立好连接，可互相ping通。

操作目的：建立互相信任的关系。

操作过程：1、建立DNS。

DNS必须使用的，而不能使用公网的，因为要对域进行解析。

由于在和 上的步骤相同，故只以为例。

在192.168.0.1上打开管理工具- DNS- 连接到计算机- 这台计算机。

在其正向搜索区域里新建区域- Active Directory集成的区域，输入，区域文件就叫.dns好了，然后完成。

右击新建的，选择属性- 常规，把允许动态更新改变为是。

然后在正向搜索区域里新建区域- 标准辅助区域，输入，IP地址输入192.168.3.1，然后完成。

右击新建的，选择从主传输。

在反向搜索区域里新建区域- Directory集成的区域，输入网络ID192.168.0，然后完成。

右击新建的192.168.0.x Subnet，选择属性- 常规，把允许动态更新改变为是。

现在的DNS已经建立好了，的也按此建立。

在192.168.0.1上进行测试，注意：DNS的传输可能需要一定的时间，最好在半个小时到一个小时后进行测试。

测试域名解析：ping 正常的为Pinging [192.168.0.1] with 32 bytes of data: Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Reply from 192.168.0.1: bytes=32 time 1ms TTL=64 Ping statistics for 192.168.0.1:Packets: Sent = 4, Received = 4, Lost = 0 ,Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms 这说明域已经解析好，如果ping 也能得到类似的响应，说明的解析也完成。

计算机网络原理 Active Directory 的管理工具在Windows Server 2003中Active Directory 目录服务是Windows 平台的一个核心组件，它提供了管理构成网络环境的身份和关系的方法。

Windows Server 2003使Active Directory 的管理更简单，从而简化了迁移和部署。

Active Directory 管理工具简化了目录服务管理。

用户可以通过标准工具或者Microsoft 管理控制台(MMC)，创建侧重于完成单项管理任务的自定义工具。

也可以将几个工具组合到一个控制台中。

在Windows Server 2003中用户只能从能够访问域的计算机上使用Active Directory 管理工具。

用户可以通过【管理工具】菜单上所提供的“Active Directory 用户和计算机账户”、“Active Directory 域和信任关系”和“Active Directory 站点和服务”三种Active Directory 管理工具。

下面我们来简单了解一下，Active Directory 管理工具中所包括的三种工具。

● Active Directory 用户和计算机账户Active Directory 用户账户和计算机账户代表物理实体，例如，计算机或者人。

用户账户也可用作某些应用程序的专用服务账户。

用户账户和计算机账户（以及组）也称为安全主体。

安全主体是被自动指派了安全标识符（可用于访问域资源）的目录对象。

用户或计算机账户用于：验证用户或者计算机的身份、授权或者拒绝访问域资源、管理其他安全主体和审核使用用户或者计算机账户执行的操作。

● Active Directory 域和信任关系Active Directory 域和信任关系是管理单元为林中的所有域树提供一个图形视图。

使用此工具，管理员可以管理林中的每个域；管理域之间的信任关系；配置每个域的操作模式（例如，纯模式或者混合模式）；并为林配置其他用户主体名称(UPN)后缀。

简述active directory结构
Active Directory（AD）是Windows Server操作系统中的目录服务，用于存储、管理和组织网络对象的信息，例如用户、计算机、打印机和共享文件夹等。

其结构主要包括以下组件：
1. 域：域是AD的基本单位，是一组网络对象的集合，可以将其看作是一个大型的目录数据库。

每个域都有一个域控制器（Domain Controller），负责管理该域的所有活动。

2. 目录树：一个或多个域可以组成一个目录树。

目录树以一个域作为根域，其他域作为子域。

根域控制器管理整个目录树，其他域控制器则管理各自域内的对象。

3. 目录林：一个或多个目录树可以组成一个目录林。

目录林以一个目录树作为根目录树，其他目录树作为子目录树。

根目录树的管理员可以对整个目录林进行管理，而其他目录树的管理员只能管理各自目录树内的对象。

4. 组织单元（OU）：组织单元是一种特殊类型的目录对象，用于将用户和计算机等对象组织成逻辑单元。

OU可以用来表示组织结构、地理位置或安全策略等信息。

5. 信任关系：信任关系是AD中不同域之间的一种关系，允许一个域的用户访问另一个域的对象。

例如，当一个用户从外部网络登录到内部网络时，可以通过信任关系进行身份验证和授权。

以上是Active Directory的基本结构，通过这种结构，管理员可以方便地管理网络中的对象，并确保安全性和可靠性。

active directory基本概念Active Directory（AD）是由Microsoft开发的一种目录服务，用于在网络中管理和组织用户、计算机、打印机等资源。

它提供了一个集中式数据库和认证服务，用于在组织内建立和维护网络中的对象的层次结构。

以下是一些关于Active Directory 的基本概念：1. 目录服务（Directory Service）：• Active Directory 是一个目录服务，其主要作用是存储和组织网络中的对象信息，如用户、计算机、打印机等。

这些对象按照层次结构进行组织，形成一个树状的目录。

2. 域（Domain）：•在Active Directory中，域是一个逻辑上的组，用于组织和管理网络中的对象。

每个域都有一个唯一的域名，域内的对象可以相互共享资源和认证信息。

3. 林（Forest）：•一个林（Forest）是一个包含一个或多个域的集合。

域与域之间可以建立信任关系，形成一个林。

每个林都有一个共享的林根（Forest Root），所有域都共享这个林根。

4. 域控制器（Domain Controller）：•域控制器是运行Active Directory服务的服务器。

每个域至少有一个域控制器，它存储了该域的目录信息，并提供认证和授权服务。

5. 组织单位（Organizational Unit，OU）：•组织单位是用于组织和管理域内对象的容器。

OU可以包含用户、组、计算机等，并可以在OU内应用特定的策略。

6. 组（Group）：•组是一种将用户、计算机等对象集合在一起的方式，以便更轻松地管理这些对象的权限和设置。

7. 用户和计算机账户：• Active Directory存储了用户和计算机的信息，包括登录名、密码、权限等。

用户和计算机账户可以被组织在域内的不同容器中。

8. 域名服务（DNS）：• Active Directory使用DNS来命名和定位域控制器。

这部分内容将以实例的形式，介绍活动目录（Active Directory）的域故障排除，基本上遵循由易到难，由简到繁的顺序来讲解讨论。

Q1、客户机无法加入到域？一、权限问题。

要想把一台计算机加入到域，必须得以这台计算机上的本地管理员（默认为administrator）身份登录，保证对这台计算机有管理控制权限。

普通用户登录进来，更改按钮为灰色不可用。

并按照提示输入一个域用户帐号或域管理员帐号，保证能在域内为这台计算机创建一个计算机帐号。

二、不是说“在2000/03域中，默认一个普通的域用户（Authenticated Users）即可加10台计算机到域。

”吗？这时如何在这台计算机上登录到域呀！显然这位网管误解了这名话的意思，此时计算机尚未加入到域，当然无法登录到域。

也有人有办法，在本地上建了一个与域用户同名同口令的用户，结果可想而知。

这句话的意思是普通的域用户就有能力在域中创建10个新的计算机帐号，但你想把一台计算机加入到域，首先你得对这台计算机的管理权限才行。

再有就是当你加第11台新计算机帐号时，会有出错提示，此时可在组策略中，将帐号复位，或干脆删了再新建一个域用户帐号，如joindomain。

注意：域管理员不受10台的限制。

三、用同一个普通域帐户加计算机到域，有时没问题，有时却出现“拒绝访问”提示。

这个问题的产生是由于AD已有同名计算机帐户，这通常是由于非正常脱离域，计算机帐户没有被自动禁用或手动删除，而普通域帐户无权覆盖而产生的。

解决办法：1、手动在AD中删除该计算机帐户；2、改用管理员帐户将计算机加入到域；3、在最初预建帐户时就指明可加入域的用户。

四、域xxx不是AD域，或用于域的AD域控制器无法联系上。

在2000/03域中，2000及以上客户机主要靠DNS来查找域控制器，获得DC的IP地址，然后开始进行网络身份验证。

DNS不可用时，也可以利用浏览服务，但会比较慢。

2000以前老版本计算机，不能利用DNS来定位DC，只能利用浏览服务、WINS、lmhosts文件来定位DC。

简介
信任是两个域之间沟通的桥梁，只要两个域之间相互信任，双方的用户即可访问对方域内的资源或者用对方域的计算机登录。

当建立了信任关系之后，如何来验证信任呢?
方法/步骤
操作步骤如下：
执行【开始】丨【程序】丨【管理工具】丨【Active Directory域和倍任关系】命令，打开【Active Directory域和信任关系】窗口，如图1所示。

图1 【Active Directory域和信任关系】窗口
在控制台树中，右击要验证的信任关系所涉及到的域，执行【属性】命令，弹出【属性】对话框，如图2所示。

图2 【属性】对话框
在【属性】对话框中选择【信任】选项卡，在【受此域信任的域】或【值任此域的域】列表框中选择要验证的信任关系，然后单击【属性】按钮，在弹出的对话框中单击【验证】按钮，如图3所示。

图3 验证信任
本文源自大优网。

Active Directory信任创建
二、实训要求
1、父子信任；
2、树根信任；
3、快捷信任；
4、提升域功能级别和林功能级别；
5、林信任；
6、外部信任；
7、信任的删除。

三、实训步骤
创建了一个主域，子域，域树。

主域
子域
域树
父子信任
树根信任
三，在子域上新建信任--输入别一个域的dns域的名称（）--双向信任--只是这个域--输入用户名和密码--是，确认传入信任--完成
快捷信任
四.提升域功能级别和林功能级别
1.分别在子域--域树--域控上提升域的功能级别到Windows Server 2003
Windows Server 2003
五，林信任
1，要分别在第个林域中dns上新建一个转发器，相互指向，新在域控上新建信任，这时新
建信任向导中会多一项（另一个林）
2.输入另一个林的名称，
3.选择林信任
4.双向的
5.只是这个域
6.全林性身份验证
7.信任密码
8.林信任成功
9.成功
六，外部信任
在子域上新建信任--输入别一个林域的dns域的名称（）--双向信任--只是这个域--输入用户名和密码--是，确认传入信任--完成
七，信任的删除
打开信任选项卡，删除--是，从本地域和另一个域中删除信任--输入对面的用户
各密码。

除了父子和根域，其余删除一样
四、总结。

简述active directoryActive Directory是一种由Microsoft开发的目录服务，它提供了一种统一的方式来管理网络中的用户、计算机、应用程序和其他资源。

Active Directory是Windows Server操作系统中的一个核心组件，它允许管理员在整个网络中集中管理和控制访问权限。

一、Active Directory的概述1.1 什么是Active DirectoryActive Directory是Windows Server操作系统中的一个目录服务，它提供了一种统一的方式来管理网络中的用户、计算机、应用程序和其他资源。

它可以帮助管理员集中管理和控制访问权限，从而提高网络安全性和效率。

1.2 Active Directory的架构Active Directory采用了分层架构，由域、树和森林三个层次组成。

域是最基本的单位，它包含了一组用户、计算机和其他资源。

多个域可以组成一个树，而多个树又可以组成一个森林。

1.3 Active Directory的功能Active Directory具有以下功能：- 用户和计算机管理：允许管理员集中管理网络上所有用户和计算机。

- 访问控制：允许管理员控制用户对各种资源（如文件夹、打印机等）的访问权限。

- 身份验证：允许管理员验证用户身份，并限制未经授权者对系统资源的访问。

- 目录服务：允许管理员存储和检索网络上所有资源的信息。

二、Active Directory的组成部分2.1 域域是Active Directory中最基本的单位，它是一个逻辑组，可以包含一组用户、计算机和其他资源。

每个域都有一个唯一的名称和标识符，并且可以与其他域建立信任关系以实现资源共享。

2.2 树树是由多个域组成的层次结构，它们共享相同的命名空间。

树中每个域都有一个父域和一个子域，除了根域以外。

树允许管理员在不同的域之间建立信任关系，并共享资源。

2.3 森林森林是由多个树组成的集合，它们共享相同的目录架构、配置和全局目录。

Active Directory 概述一、工作组和域：Windows Server 2003 支持两种用户帐户：域帐户和本地帐户。

域帐户可以登录到域上，并获得访问该网络的权限；本地帐户则只能登录到一台特定的计算机上，并访问该计算机上的资源。

在工作组模式的网络中，各服务器都是独立的，各服务器中的账户和资源也是各自进行管理的。

所以，管理员需要为每台服务器建立账户。

管理时也需要分别登录各服务器完成管理工作。

授权用户访问不同的服务器时，也需要分别登录。

在域模式的网络中，服务器可以集中进行管理，域中的账户和资源也是集中管理的。

所以，管理员登录一次就可以管理整个域。

授权访问用户登录一次就可以访问所有共享资源。

在域结构的网络中，需要一个对账户和资源进行统一管理的机制，这个机制就是活动目录（Active Directory）。

域中所有的账户和共享资源都需要在活动目录中进行登记。

用户可以利用活动目录查找和使用这些资源。

基于域结构的网络可大大减轻管理的复杂度和工作量，通常用于结构较复杂的网络。

二、相关概念：域(Domain)：一个域就是一系列的用户账户、访问权限和其他各种资源的集合。

域是网络的独立安全范围，是 Windows 的逻辑管理单位。

一个网络可以建立一个或多个域。

活动目录(Active Directory)：活动目录是一个信息库，它用来存放域内的用户账户、组、网络打印机、共享文件夹等对象。

名字空间：每个域都必须命名，域的名字遵循 DNS 命名规则，并且通过 DNS 服务器解析域名。

信任关系：如果一个网络中建立了多个域，各个域之间可通过 Kerberos 协议建立信任关系，具有信任关系的各个域构成域群，它们的共享资源可以互相访问。

域间的信任关系一般是双向的、可传递的。

系统定义了两种默认信任类型：父子、树根。

使用“新建信任向导”还可以创建另外4种信任类型：外部、领域、林、快捷。

构建域群有两种方式：域树和域林域树(Tree)：把多个域按“父子”信任关系构建成具有层次结构的域群。

解决active directory域服务问题的方法全文共四篇示例，供读者参考第一篇示例：Active Directory（AD）是微软Windows操作系统中常用的目录服务，用于管理网络中的用户、计算机和其他资源。

在使用过程中，有时候会碰到一些问题，如用户无法登录、组策略无效等。

本文将介绍解决这些问题的方法，帮助管理员更好地管理和维护AD域服务。

一、用户无法登录1. 检查网络连接：首先要确保网络连接正常，AD域控制器可以被访问。

可以通过ping命令测试AD服务器的可达性。

2. 检查用户名和密码：确认用户输入的用户名和密码是否正确，如果忘记密码可以重置密码或设置密码策略允许用户自行更改密码。

3. 检查用户帐户是否被锁定：如果用户连续多次输入错误密码，有可能触发帐户锁定策略，解锁用户帐户即可解决登录问题。

4. 检查域控制器日志：查看域控制器的事件日志，可能会有相关登录失败的日志记录，从而找到问题的原因。

二、组策略无效1. 强制更新组策略：可以使用gpupdate /force命令强制更新组策略，使其立即生效。

2. 检查组策略设置：确保组策略设置正确，没有重复或冲突的设置。

可以通过组策略管理工具查看和修改组策略设置。

3. 检查组策略范围：确认组策略应用范围是否覆盖了需要生效的用户或计算机，有时候由于配置错误导致组策略无法正确应用。

4. 重启计算机：有时候组策略更新后需要重新启动计算机才能生效，尝试重启计算机查看是否问题解决。

三、AD域服务异常1. 检查AD域控制器状态：确保AD域控制器正常运行，未出现硬件故障或软件故障，可以通过性能监视器监控AD域控制器的运行状态。

2. 检查AD域服务配置：查看AD域服务的配置是否正确，包括DNS设置、时间同步、网络设置等，这些配置对AD域服务的正常运行至关重要。

3. 检查AD域数据库：如果出现用户丢失或其他异常情况，可能是AD域数据库损坏或存储空间不足，可以尝试修复数据库或清理存储空间。

AD活动⽬录域信任关系图解AD活动⽬录域信任关系图解有时候要给学员们讲解AD活动⽬录域信任关系，所以特地写了这篇⽂章来说明信任是在域之间建⽴的关系。

AD活动⽬录域信任关系就是可以使⼀个域中的⽤户由其他域中域控制器进⾏⾝份验证。

⼀个林中的域之间的所有 Active Directory 信任都是双向的、可传递的信任。

如下图所⽰:域 A 信任域 B，且域 B 信任域 C，则域 C 中的⽤户可以访问域 A 中的资源（如果这些⽤户被分配了适当的权限）.只有 Domain Admins 组中的成员才能管理信任关系.信任协议域控制器使⽤两种协议之⼀对⽤户和应⽤程序进⾏⾝份验证：Kerberos version 5 (V5) 协议或 NTLM。

Kerberos V5 协议是 Active Directory 域中的计算机的默认协议。

如果事务中的任何计算机都不⽀持 Kerberos V5 协议，则使⽤ NTLM 协议.信任⽅向单向信任: 单向信任是在两个域之间创建的单向⾝份验证路径。

这表⽰在域 A 和域 B 之间的单向信任中，域 A 中的⽤户可以访问域 B 中的资源。

但是域 B 中的⽤户⽆法访问域 A 中的资源。

单向信任可以是不可传递信任，也可以是可传递信任，这取决于创建的信任类型。

双向信任: Active Directory 林中的所有域信任都是双向的、可传递的信任。

创建新的⼦域时，系统将在新的⼦域和⽗域之间⾃动创建双向可传递信任。

在双向信任中，域 A 信任域 B，并且域 B 信任域 A。

这表⽰可以在两个域之间双向传递⾝份验证请求。

双向关系可以是不可传递的，也可以是可传递的，这取决于所创建的信任类型。

信任类型包括外部信任(不可传递)、快捷⽅式信任(可传递)、领域信任（可传递或不可传递）、林信任(可传递)。

下⾯以实例讲解配置两个域之间的信任关系。

域A:域B要求域A <—> 域B 两个域相互信任，部分⽤户资源互访。

实验名称：域信任关系实验目标：通过本实验，应掌握以下技能：建立快捷信任建立林信任建立外部信任实验任务:1) 建立一个林中两个域的快捷信任； 2）建立林和林的林信任；3）建立域和的外部信任实验拓扑：实验前的准备：1. 建立域的信任，需要是Domain Admins 或Enterprise Admins组的成员任务一建立一个林中两个域的快捷信任建立林中两个域和的快捷信任1.在域的域控制器计算机上，打开“开始”“程序”“管理工具”“Active Directory 域和信任关系”2.在控制台树中，展开 ,右键单击要建立快捷信任的域的域节点，然后单击“属性”。

3.单击“信任”选项卡上的“新建信任”，然后单击“下一步”。

4.在弹出的“新建信任向导”中，单击“下一步”按钮，在“信任名称”页，键入域的 DNS 名（）或 NetBIOS 名称（sale），然后单击“下一步”。

5. 在“信任方向”页面，选择“双向”，表示两个域中的用户可以相互访问对方的资源，单击“下一步”按钮。

6.选择“这个域和指定的域”，表示同时在两个域中建立信任关系，但需要有指定域的，单击“下一步”按钮。

7. 输入指定域中有信任创建特权的用户名和密码。

单击“下一步”按钮。

8. 显示已创建好的信任关系，单击“下一步”按钮。

9. 信任创建成功，单击“下一步”按钮。

10. 询问是否要确认传出信任和传出信任，选取后单击“下一步”按钮。

11. 完成新建信任的创建,单击“完成”按钮。

12. 可以在属性的“信任”选项卡中看到刚创建的信任。

13. 同样可以在属性的“信任”选项卡中看到刚创建的信任。

任务二建立和的林信任创建林信任前的准备：1.两个林之间可以通过DNS服务器来找到另一方林根域的控制器。

如果两个林根域不共享同一台DNS服务器，可以通过“条件转发器”的方式来实现。

2.确定两个林中所有的域功能级别是windows 2000纯模式或windows2003模式，“林功能级别”都升级为“Windows Server2003”1.在域的域控制器计算机上，打开“开始”“程序”“管理工具”“Active Directory 域和信任关系”2.在控制台树中，右键单击林根域的域节点，然后单击“属性”。