什么是目录

2024年4月8日发(作者：)

什么是目录?

• 在一个组织中关于人和资源的信息的 一个存储仓库

• 特点：用一致的方式命名、描述、定位、管理和保证这些信息的安全

Domai

OU1

Computer

Computer

Users

User1

OU2

Users

User2

Printer

Printer

目录服务是一种组织和简化网络资源的方法。用户和管理员可能不知道他所所需对象的确切

名称，然而，他们可能知道该对象的一个或多个属性。目录服务中可以基于一个或多个属性，

就可以查到具有此属性的对象。

2.什么是活动目录?

活动目录基于LDAP (Light Directory Access Protocol，轻型目录访问协议) ，有效集中地组

织查找和管理网络中的资源(包括用户、计算机、共享文件夹和共享打印机等)

功能



组织



管理



控制

集中管理



单点管理

资源



单一登陆，完全访问AD

在Windows server 2003域内的目录是用来存储用户帐户、组、打印机、共享文件夹等对象

（object）的，我们把这些对象的存储处称为“目录数据库（directory database）”。在Windows

Server 2003域内负责提供目录服务的组件是Active Directory（活动目录），它负责目录数据

库的保存、新建、删除、修改与查询等服务。

说明：如一本很厚的书，它里面的内容很多（即知识点很多），如果需要读者快速地找

到书中某一个知识点很不容易，为此作者就会把整本书的内容加以整理，并将每个知识点与

相应的页码存储到该书的前几页，称为书的目录。有了目录读者就可以快速地找到该书中的

某一个知识点（即起到了快速查询的目的），由此可见书的目录就是为读者提供的一种查询

服务。在计算机网络中，假设该网络的规模比较大，网络中的资源也比较多（如有多台打印

服务器、多个用户、多个组、多个共享文件夹等），如果需要网络中的用户快速地找到某一

个网络资源也很不容易。为此网络的管理员需要将整个网络的资源加以整理，并将网络资源

统一的组织起来，集中地存储到一个特殊的位置（即目录数据库），以便网络中的用户快速

查询，为网络中的用户提供查询服务。我们把这个可以为网络用户提供服务的组件称为

Active Directory（活动目录），它负责目录数据库的保存、新建、删除、修改与查询等服务。

3.活动目录的优点

•

•

•

•

•

•

集中存储用户和密码列表

提供一组服务器作为身份验证服务器

对域中的资源维护一个可供搜索的索引便于查找

允许创建带有不同权限的用户

能更好的做分层管理

ＡＤ为多厂商提供身份验证平台

减少 TCO 柔性管理

Pa

Sa

Re

可伸缩性

简化的管理

活动目录可以把整个域中所有的网络资源信息集中地存储到活动目录数据库中（包括域

用户及其密码），进行统一的管理与控制。管理员可以通过活动目录对数据库进行添加、

删除、修改等操作。由于用户的身份与密码也在数据库中存储，所以活动目录还起到了

集中验证身份的作用。通过活动目录还可以实现把企业中的某些部门委派给个别用户管

理，进而达到分散式管理的作用。

4.活动目录对象

Objects

Attributes

Printer Name

Printer Location

Printers

Attributes

First Name

Last Name

Logon Name

User

Don

Suzan Fine

Active

Directory

Printers

Printer1

Printer2

Printe

Attribut

e

Value

Users

 活动目录对象代表域中的网络资源

 活动目录对象是通过其“属性”来描述的

域中有很多网络资源（例用户、组、打印机、共享文件夹、组织单位、应用程序等），

所有的网络资源在域中都称为活动目录对象(Object)。这些对象的相关信息都存储在

该对象的属性中（例某用户的电话、住址、邮编、公司等信息都记录在该用户的属

性中）。所以有人就说活动目录对象是通过对象的“属性”来描述的

5.什么是架构（ Schema）?

• 架构是活动目录的基本结构，是组成活动目录的规则。

• 活动目录架构包括两个方面内容：对象类和对象属性。

• 当在活动目录中创建对象时，就必须遵守这个架构规则，只有在活动目录架构中定

义了一个对象的属性才可以在活动目录中使用该属性。

架构是活动目录对象属性的类模板（例如用户属性中没有“性别”，如果希望用户属性中

有“性别”，就需要修改活动目录架构）。架构中定义了对象类与对象属性。一个域目录

林共享一个活动目录架构。

7. AD的逻辑结构

域、树、林、组织单元都是活动目录的逻辑结构。

8. 域—活动目录的核心逻辑单元

• 域是出于管理而定义的对象集合

• 域是管理边界

➢ 域管理员仅仅能管理自己的域，除非在其它域被特别指派管理权利，有其自

己的安全策略（独立唯一）

• 域是复制单元

➢ 域中的DC参与复制，并且包含自己域的目录信息的一个完整拷贝

域是一种逻辑的组织形式，因此一个域可以跨越多个物理位置。

如北京和上海的两个网段同属一个域，通过用WAN链路相连，如果该域的域控

制器只有一台在北京，这时上海的客户端在登陆域或访问域中的资源时都要到北京的域

控制器进行查找，而通过WAN链接有时比较慢为了提高对用户的响应速度可在上海的

网段中创建一台额外域控制器。来实现北京和上海的数据同步，而同步的内容就是域的

信息，因此域是复制单元。

9. 域树和森林

域树是由多个域组成的，组成域树的第一个域称为树的根域，上图的根域就是，

其他域被称为结点域。

而域是管理边界，因此多个域之间互相访问时就需要有一种信任关系，所以各

域之间都会有信任关系的存在。

森林是由一棵或多棵域树组成的，每棵域树独享连续的命名空间，不同域树之

间没有命名空间的连续性。

森林特点：

森林中的所有域树拥有相同的架构和全局编录

森林中的第一个域称为该目录林的根域

森林根域的名字就是森林的名字

森林的根域和该森林中的其他域树的根域之间存在双向可传递的信任关系（域树

根信任）

10. 组织单位OU

• OU是活动目录中一个特殊容器，它可把用户、组、计算机和打印机等对象组织起

来。

• OU是活动目录中最小的管理单元，它不仅可以包括对象，而且可进行组策略设置

和委派管理，这是其他普通容器做不到的

组织单位是活动目录中一个特殊的容器，是活动目录最小的管理单元。该容器中

可以存储用户、组、计算机、打印机等。该容器可以委派给其它的用户进行管理，可以

实现活动目录的分散式管理。也有人说组织单元对应了现实企业模型中的总门，所以在

划分组织单位时可根据两个原则：部门职能和地点。

的物理结构

逻辑结构和物理结构是两个概念的，逻辑结构是用来组织网络资源的，而物理结构是用

来设置和管理网络流量的。常见的活动目录物理结构有：站点、域控制器、WAN连接

12. 域控制器

•

•

•

具有存储活动目录数据功能

参与AD复制

在域中执行单主控操作角色

人们把存储活动目录数据库的计算机称为域控制器，简称为DC。所以有人说DC是用

来管理用户登陆进程、验证和目录搜索任务的。

为了提高域的可靠性、容错性，可以在一个域中安装多台DC，为了保证活动目录数据

库一致性，就需要各DC之间实现活动目录复制。

13. 站点

“站点（site）”由一个域数个IP子网（subnet）所组成，这些子网之间是通过“高速且可

靠的链接”串接起来的，子网之间的链接速度要够快、稳定且符合需要，否则，应该将

它他们分别规划为不同的站点。

站点特点：

一个站点可以有一个或多个IP子网组成

一个站点中可以有一个或多个域

一个域可以属于多个站点

同一站点内数据复制是不压缩的，复制频率高,复制时间无法手工控制；而不同站

点间数据复制是要压缩的，而且复制频率低，复制时间也可以手工控制的。

14. 单操作主机和多操作主机

多主机复制模式：Active Directory内大部分数据利用这种模式进行复制的。在这种模式

中，可直接更新任何一台域控制器内AD的对象，更新后对象会被自动复制到其他域控

制器。例如，当在任何一台域控制器的Active Directory内新曾一个用户帐户后， 这个

帐户会自动被复制到域内的其他域控制器。

单主机操作模式：Active Directory内的少部分数据是采用“单主机操作”来复制的。

在这种模式之中，当提出变更对象数据的要求时，由其中一台域控制器负责接收与处理。

也就是说由其中一台服务负责更新完成后，再由该服务器通知其它DC进行复制。

15. LDAP —轻型目录访问协议

• 活动目录访问使用LDAP协议(端口：TCP 389)

• LDAP协议中制定了严格的命名规范，可唯一定位一个活动目录中的对象。

• 下表是LADP中关于DC、OU和CN的定义

名字

DC

OU

属性

域组件

组织单位

描述

活动目录域的DNS名称

组织单位可以和现实中一个行政部门相对应，在

组织单元中可包括其他对象，如用户、计算机和

打印机等

除了域/组织单元外的所有对象，如用户和打印机

CN

普通名字

活动目录数据库存储的对象都是以LDAP协议(轻型目录访问协议)的形式存储的。该协

议的语法如下：

CN=张三,OU=用户,OU=网工学院，OU=北京八维教育基地,DC=bw,DC=com

该句表示：用户“张三”存储在“用户”的组织单位中，“用户”的OU又存储在“网工

学院”的OU中，“网工学院”的OU又存储在“北京八维教育基地”的OU中，“北京八维

教育基地”的OU存储在“”的域中。

以上理论可知：LDAP协议可以准确地描述出一个活动目录对象所存储的位置。

16. 可辨别名（DN）和相对辨别名（RDN）

如上图所示用户suzan fine存储在sales的OU中，sales的OU存储在finance的OU中，

finance的OU存储在的域中。该用户存储在数据库中就是以cn=suzan

fine,ou=sales,ou=finance,dc=contoso,dc=msft的形式存储的，该行代码也称为对象的可辨

别名（DN）。其中cn=suzan fine部分称为相对可辨别名（RDN）。而该用户的登录全名

为：suzanfine@称为用户规则名(UPN)。

17.什么是全局编录GC？

•

•

•

•

包含有：AD中所有对象属性子集的仓库（包括安全权限）

作用：跨域访问、通用组信息、访问令牌（UPN）

确定GC位置：AD站点和服务

确定GC复制提升完成：注册表（延迟：5分钟）

只读

全局目录GC

HKLMsystemCurrentControlsetservicesntdsparameters

DWORD: Global Catalog Promotion Complete = 1

全局编录服务器GC(Global Catalog)本身是一个特殊的DC。它存储整个森林中所有的活

动目录对象的部分属性(约4%)。只存储重要的属性,而且这些属性都是只读的(只是一个

副本而已)。搜索DC只能搜索本域的信息，而搜索GC能搜索整个森林中的信息。

GC 默认情况下是森林中第一个域的第一台DC, 在森林中可以有多台GC。

18. 目录分区

活动目录数据库为4个分区：架构分区、配置分区、域目录分区、应用程序分区。

架构分区(Schema Partition)：存储整个森林中所有活动目录对象的构架信息(一个

森林共享一个活动目录构架)。森林中所有活动目录对象属性的架构信息都存储在活动目

录数据库的架构分区中。

配置分区 (Configuration Partition)：存储整个森林的配置规划、结构信息。例：

该森林有多少棵树、划分了多少个站点、哪个DC属于哪个站点等相关信息都存储在活

动目录数据库的配置分区中。

域目录分区(Domain Directory)：只存储本域内活动目录的对象信息。例：本域内

的用户、组、组织单位、共享文件夹、计算机、打印机等相关信息都存储在活动目录数

据库的“域目录分区”。

应用程序分区 (Aplication)：存储着森林内应用程序的相关信息。

19. 安装Active Directory的过程

• 启动AD安装向导( DCPROMO)

利用Active Directory安装向导进行安装活动目录。

1. 在即将用作独立服务器或成员服务器的Windows Server 2003计算机上，执行“开始”

→“运行”→输入dcpromo命令，启动“Active Directory安装向导”。

2. 在“欢迎使用Active Directory安装向导”对话框中单击“下一步”按钮。

3. 由于Windows Server 2003域控制器的安全设置较为严谨，因此一些较早版本的操作

系统，如Windows 95，Windows NT4.0 SP3或更早版本，将无法通过Windows Server

2003域控制器来登录与访问域资源。单击“下一步”按钮。

4. 选择安装“新域的域控制器”，单击“下一步”按钮。

5. 选择安装“新林中的域”，单击“下一步”按钮。

6. 输入新的域名，例。

7. 系统提示是否确认默认的NetBIOS名称，单击“下一步”按钮。

8. 在系统提示的对话框中选择用于存储Active Directory 数据库与日志文件的文件夹，

然后单击“下一步”按钮。

9. 在系统提示的对话框中选择一个用于存储SYSVOL 文件夹。此文件夹必须位于

NTFS的硬盘分区内。

10. 在系统提示的对话框中选择“在这台计算机上安装并配置DNS服务器”。

11. 设置“目录还原模式”的密码，单击“下一步”按钮。

12. 确定摘要信息的内容无误后单击“下一步”按钮。

13. 完成上述步骤后，重启系统。

20. 验证 Active Directory 安装

如何验证域是否安装正确？

1、验证windowsNTDS文件夹中的数据库与日志文件。

2、验证windowssysvolsysvol(默认情况是共享的)域名文件夹

3、验证DNS中的SRV记录是否正常

4、验证“事件查看器”中的日志是否有错误

5、验证“管理工具”中“active Directory用户和计算机”的完整性

21. 检查 Active Directory默认结构

验证“管理工具”中“active Directory用户和计算机”的完整性

22. 客户机加入域

 前提条件

 步骤

 设置DNS地址

 将计算机加入域

如何把客户机加入到域？

前提：windows xp home edition版本不可以加入域

首先把自己的DNS地址指向DC的IP地址，方法：右击“我的电脑”属性计

算机名更改域输入域名输入域用户名与密码（回车即可）

23. 先安装DNS再安装活动目录

• 安装DNS服务

• 建立DNS辅助区域，实现区域复制

• 安装活动目录

• 验证DNS中的区域类型及动态更新

在企业中有时会出现域控制器与DNS服务器不是同一台服务器，此时就需要单独安装

活动目录。

先安装DNS服务再单独安装活动目录的方法如下：

1. 首先在服务器上设置静态的IP地址，并设置DNS地址

2. 在服务器上安装DNS服务（控制面板添加/删除程序）

3. 打开DNS服务控制台，新建立正向（主要）查找区域（），区域名称要

与欲安装的域名相同，并且一定要设置区域“允许动态更新”

4. 在运行中输入"DCPROMO"，注意：选择"我将以后手工配置"

5. 当域控制器第一次启动后，一定要修改DNS中的区域类型为“与AD集成区域”，而

且要设置“允许安全动态更新”

6. 在DNS中新建"_msdcs.域名"的区域

24. 删除 Active Directory

通过输入dcpromo命令运行活动目录的安装、删除向导，进行删除活动目录。

25. 额外域控制器简介

• 容错

• 责载均衡

• 多个DC之间是平等的

• 多个DC之间要实现复制

企业中只有一台域控制器时，并不安全（如果该域控制器损坏会影响网络的使用）。所

以在很多情况下都需要在网络中安装多台域控制器，它们都称为额外域控制器。额外域

控制器与主域控制器上的活动目录数据库是相同的，且实现同步的。额外域控制器可以

实现容错与负载均衡功能。

26.安装额外域控制器

 与主DC共用同一台DNS服务器

 在欲安装的额外的域控制器上设置DNS地址(指向

DNS服务器)

 运行安装向导(Dcpromo)安装额外DC

 选择“现有域的额外域控制器”

安装额外域控制器有多种方法，本例中是：与主域控制器共用同一台DNS服务器的形

式安装额外DC。方法如下：

1. 在欲安装的额外域控制器上设置DNS地址，将DNS地址指向DNS服务器的IP地

址。

2. 运行安装向导(Dcpromo)安装额外DC

3. 选择“现有域的额外域控制器”直至完毕。

27. 安装额外域控制器

 与主DC使用不同的DNS服务器

 在欲安装的额外DC上安装DNS服务

 建立DNS辅助区域

 设置DNS地址(指向自己的IP)

 运行安装向导(Dcpromo)安装额外DC

 验证AD集成区域

安装额外域控制器有多种方法，本例中是：与主域控制器使用不同的DNS服务器的形式安

装额外DC。方法如下：

1. 首先在欲安装的额外DC上安装DNS服务

2. 在欲安装的额外DC上打开DNS服务控制台()，建立DNS辅助区域，

并实现与主DNS区域的复制。

3. 在欲安装的额外DC上设置DNS地址，将其指向自己计算机的IP地址。

4. 运行安装向导(Dcpromo)安装额外DC

5. 验证AD集成区域

28.验证AD集成区域

 验证DNS的区域是否为AD集成区域

 只有域内名称才会被注册

当使用上述方法建立额外域控制器完成并重新启动计算机后，DNS中的辅助区域会自动转

换成为“与活动目录集成的主区域”。如果没有转换成功，可手工重新将该区域设置成为“与

活动目录集成区域”，并允许该区域安全动态更新。只有这样DNS客户端才可以实现自动注

册FQDN名与IP地址。

29.

安装额外域控制器

 实现异地跨广域网安装额外DC

 备份主DC的数据

 将备份文件传递到异地欲安装的DC上

 在异地DC上把备份文件还原到“备用位置”

 在异地DC上安装DNS服务，并设置辅助区域

 运行安装向导(DCpromo /adv)安装额外DC

安装额外域控制器有多种方法，本例中是：实现异地跨广域网的形式安装额外DC。方法如

下：

1. 首先备份主DC(例server01)上的数据(备份时选择"system State")，将活动目录备份成

为一个文件。

2. 将备份文件传递给欲安装额外DC的计算机（例server04），可以使用FTP或其它形

式进行传输。

3. 在欲安装额外DC的计算机(例server04)上将备份文件的数据恢复到一个"备用位置"

4. 在欲安装额外DC的计算机(例server04)上安装DNS服务,并安装辅助区域,实现区域

复制。

5. 在欲安装额外DC的计算机(例server04)上，输入"dcpromo /adv"安装额外DC，安装

时选择"从恢复的备份文件复制数据"。

6. 验证AD集成区域

30. 备份活动目录数据库

 运行NTbackup命令，根据备份向导进行备份。备份时选择：system state

首先备份主DC(例server01)上的数据(备份时选择“system State”)，将活动目录备份成为一个

文件，如上图中所示。

31.传递备份文件至欲安装额外DC的服务器上

 将主DC的备份文件夹共享

 在欲安装额外DC的服务器上进行下载备份文件

将备份文件传递给欲安装额外DC的计算机（例server04），可以使用FTP或其它形式进行

传输(本例中使用共享的方式)。

32. 还原备份文件至备用位置

在欲安装额外DC的计算机(例server04)上将备份文件的数据恢复到一个“备用位置” (恢复完

毕后如下图所示)。

33.安装额外DC

 运行DCPROMO /ADV根据安装向导安装额外DC

在欲安装额外DC的计算机(例server04)上，输入“dcpromo /adv”安装额外DC，安装时选择“从

恢复的备份文件复制数据“(如上图所示)。

34. 简述：多域的特征

同一个域中多台DC的活动目录数据库是相互复制的，而且是完全相同的。因此要求这些数

据库在相互复制时是完全复制的，这种形式虽然有利于集中化管理控制、完全统一管理，但

复制流量较大。因此当企业跨异地（跨广域网），并且行政管理体系不完全相同时，建议使

用父子域的形式进行规划活动目录。这种多域的形式管理相对比较独立，不要求数据库完全

一致，减少了复制的通信流量，同时也分散了管理任务。

35. 什么是目录树?

父、子域的形式构成了域目录树。在一棵目录树内子域的后缀就是父域的名称；在一棵域目

录树内(父、子域)共享一个连续的名称空间。

36. 创建一个新的子域

活动目录安装向导:

 创建一个新的域控制器

 选择安装现有目录树的子域

 和父域形成相互的双向信任关系

如何建立一个现有域的子域，形成域目录树结构呢 (或如何建立现有目录树中的子域) ？需

要在运行中启动活动目录的安装向导：运行dcpromo命令，选择创建新域的域控制器，选

择创建现有目录树的子域，输入根域的名称、管理员名、密码等信息，其它根据向导操作即

可。

37. 例:安装的子域

1. 在一台Windows Server 2003 Standard/Enterprise上安装一个域, 完毕后验证其是否正

确(例)。

2. 在另一台Windows Server 2003 Standard/Enterprise上设置静态IP地址，并设置DNS

地址为主DC的IP地址。

3. 在该server上运行dcpromo命令,在安装过程中选择”现有域树中的子域”,输入林中根

域管理员的名称与密码并选择父域,然后输入子域的名称,其它步骤根据向导操作。

上图就是输入根域的域名、管理员名、密码的信息，然后指定父域，并输入子域的名称。

38.实验：安装域目录树

1. 在欲安装子域的服务器上(例:server03)安装DNS服务

2. 打开DNS控制台，并建立相应的正向查找区域(区域名要与欲安装的AD域名相同)。

然后在该DNS服务器上设置转发器，使之可以解析父域的名称。

3. 在该服务器上运行dcpromo命令安装子域。

4. 在父域的DC上打开DNS服务控制台，建立委派记录

5. 子域DC安装完毕并重新启动计算机后，打开DNS服务控制台，将现有的DNS正

向查找区域设置成为“与活动目录集成区域”，并允许“安全动态更新”。

39. 什么是目录林?

当企业兼并或企业多元化经营时，常会出现不同的子公司经营不同的产品，而且各子公司的

名称也不相同。此时建立使用目录森林进行规划设计活动目录。例：上图中的 与

，从名称上来讲没有什么内在的联系，但它们同属于一个企业集团，上图中的这种结

构就组成了活动目录森林。一个目录林可以由一棵或多棵目录树组成，它们并不共享连续的

名称空间。在一个目录林中共享相同的架构信息和全局编录信息。

什么是目录林的根域

40.什么是目录林的根域

目录林中第一棵树的第一个域被称为该目录林的根域，该域的名称也被认为是整个目录林的

名称。在目录林根域中的第一台DC也是默认的全局编录服务器。

41.创建新目录林的根域









创建新目录林的根域

能够使计算机成为新域的域控制器

配置成为全局编录服务器

使用默认的架构和配置目录分区

创建目录林需要先建立目录林的根域。可以在一台Windows server 2003 Standard Edition /

Enterprise Edition的服务器上运行Dcpromo命令安装Active Directory，把它建立成为目录林

的根域。

42. 创建新的目录树









创建新树的根域

能够使计算机成为新域的域控制器

和目录林的根域形成相互的双向信任关系

复制架构和配置目录分区

当目录林的根域建立成功以后，就可以在现有的目录林中建立新的目录树，构成目录林结构。

安装现有林中的一棵新目录树，需要运行Dcpromo命令，选择“新域的域控制器”，选择“现

有林中的域树”，输入目录林根域的域名、管理员名、密码等信息，输入新域的FQDN名，

其它操作根据向导提示操作即可

43.。例:安装的另一棵树

本例中是安装现有目录林()的第二棵目录树()，如上图所示：运行

Dcpromo命令，选择“新域的域控制器”，选择“现有林中的域树”，输入目录林根域的域名、

管理员名、密码等信息(的信息)，输入新域的FQDN名()，其它操作根

据向导提示操作即可

44.信任关系

本章概述

 何为信任关系

 信任关系的类型

 什么是TDO?

 在森林内的信任关系如何工作

 在森林间的信任关系如何工作

 如何创建信任关系

本章主要讲述：何为信任关系；为什么要创建信任关系；信任关系的类型；在森林内的信任

关系如何工作；在森林间的信任关系如何工作；如何创建信任关系

信任关系简介

• 创建信任关系是为了实现不同域之间的资源互访问

• 被信任对象(TDO)可以访问信任对象的资源

• 信任关系可以是双向的，也可以是单向的。

• 信任关系有些是自动建立的，有些需要手工建立

• 信任关系有些是可传递的，有些是不可传递的

信任关系的类型（一

父子信任：双向、可传递并自动建立的父子域之间的信任。

树根信任：双向、可传递并自动建立的森林内多棵域树根域之间的信任。

快捷信任：可传递的、手工创建的并手工指定方向的、可以使用在森林之内域之间

的信任。

森林信任：两个森林的根域之间的信任，是手工建立的、可传递的、方向手工指定

的信任。

外部信任：多个森林中任意域之间的信任，是手工建立的、不可传递的、方向手工

指定的信任。

领域信任：windows kerberos协议与非windows kerberos协议之间的信任。

TDO（Trusted Domain Objects）

TDO 中表示了诸如信任传递性、类型以及互换的域名等属性

受信任域对象（TDO）是一些代表特定域内部每条信任关系的对象。每次建立信任关系时，

便会在它的域中建立和存储（在SYSTEM容器中）一个独一无二的TDO。诸如信任是否可

传递、信任类型以及伙伴域的名称等属性都在TDO中进行表述。

森林信任TDO存储了更多的信息，以便从它的伙伴森林处验证所有受信任的命名空间。这

些属性包括了域树的名称、UPN后缀以及SID命名空间。

在森林内的信任关系如何工作

域B的用户如何需要访问域C的资源，域B就跟据信任路径向域A请求(因为域A是本域

树的根域，也是域B的父域)，由域A给域B颁发访问票证后，域B再去向域C请求访问，

最终访问到域C中的资源。

森林间的信任关系如何工作

如果客户端需要访问其它森林中的资源需要跟据信任路径索取访问许可最终访问对方的资

源。

如何建立信任关系

利用 Active Directory 域和信任关系建立信任关系

如果需要在两个域之间手工建立任何信任关系，两个域之间必须能够相互进行DNS解析。

注意：若建立森林信任必须先提升两个森林的“林功能级别”，将其提升为“windows 2003模

式”，然后才能建立森林信任。