Конфигурирование доверительных отношений между лесами
В качестве альтернативы модернизации между лесами, описанной в предшествующем разделе, можно использовать доверительное отношение между лесами, направленное от одного леса Windows Server 2003 к другому, обособленному, лесу Windows Server 2003, в котором расположены ресурсы, предназначенные для доступа.
Одним из существенных улучшений в Active Directory Windows Server 2003 по сравнению с Windows 2000 является опция создания доверительных отношений между лесами Active Directory. В Active Directory Windows 2000 можно создавать доверительные отношения только между отдельным доменом в одном лесу и отдельным доменом в другом лесу. В Active Directory Windows Server 2003 можно установить доверительные отношения между корневыми доменами леса. Они могут быть односторонними или двухсторонними доверительными отношениями. После того как доверительные отношения созданы, можно использовать глобальные группы или универсальные группы одного леса для предоставления доступа к ресурсам другого леса.
Примечание. Создание доверительных отношений между двумя лесами допускает только совместное использование ресурсов между лесами. Все другие различия, существующие на уровне леса, сохранятся после создания доверительных отношений. Например, создание доверительных отношений не подразумевает, что леса будут совместно использовать глобальный каталог (GC) или общую схему.
Когда вы создаете доверительные отношения леса в Active Directory, они автоматически допускают маршрутизацию суффикса имени (name suffix routing) между этими лесами. Используя маршрутизацию суффикса имени, пользователи могут использовать свои основные пользовательские имена (UPN) при входе на любой домен любого леса. Например, если вы создаете доверительные отношения леса между лесом NWTraders.com и лесом Contoso.com, пользователи леса Contoso.com могут входить на рабочие станции в лесе NWTraders.com, используя свои UPN alias@contoso.com. Маршрутизация суффикса имени применяется по умолчанию ко всем именам доменов первого уровня, имеющимся в лесу. Это включает заданный по умолчанию UPN-суффикс и любые альтернативные суффиксы, сконфигурированные в лесу. Маршрутизация суффикса имени не работает между лесами, если один и тот же UPN-суффикс сконфигурирован в обоих лесах. Если UPN-суффикс Contoso.com сконфигурирован в лесе NWTraders.com, пользователи леса Contoso.com не смогут входить в лес NWTraders.com, используя свои UPN.
Когда вы впервые разрешаете доверительные отношения леса, все суффиксы домена первого уровня автоматически направляются на UPN доверительного отношения. Все дочерние суффиксы домена направляются неявно через суффикс родительского домена. Если вы добавляете другой UPN-суффикс к лесу, после того как создано доверительное отношение, вы должны разрешить маршрутизацию суффикса имени для нового суффикса. Вы можете сделать это, проверяя доверительное отношение между доменами или вручную добавляя новый суффикс на вкладку Name Suffix Routing (Маршрутизация суффикса имени) в окне свойств доверительного отношения.
Чтобы создать доверительное отношение леса, лес должен работать на функциональном уровне Windows Server 2003. Только члены группы Enterprise Admins (Администраторы предприятия) имеют разрешение создавать доверительные отношения леса.
Чтобы создать доверительные отношения леса, выполните следующее.
Рис. 7-4. Конфигурирование типа доверительных отношений леса
Рис. 7-5. Конфигурирование направления доверительных отношений леса
Рис. 7-6. Выбор конфигурирования одной или обеих сторон доверительных отношений
Рис. 7-7. Конфигурирование уровня аутентификации для доверительных отношений леса