Я работаю над устранением неполадок в разрабатываемом приложении, которое использует информацию из Active Directory в среде с несколькими лесами, и у меня есть текущая проблема - выяснить, являются ли доверительные отношения лесов транзитивными, и если да, то при каких условиях.
Настройка: при использовании Active Directory 2003 ForestA имеет двустороннее доверие леса с ForestB . ForestB имеет двусторонний траст леса с ForestC .
В этой ситуации существуют ли какие-либо доверительные отношения между ForestA и ForestC? Я нашел противоречивую информацию; эта первая ссылка ясно указывает на доверие лесов к непереходным лесам:
Лесные трасты
Лесные трасты могут создаваться только между двумя лесами и не могут неявно распространяться на третий лес. Это означает, что если между лесом 1 и лесом 2 создается доверие леса, а между лесом 2 и лесом 3 создается доверие леса, у леса 1 не будет неявного доверия с лесом 3.
Однако я также могу найти в списке типов доверия указание на то, что доверительные отношения лесов являются переходными:
Типы доверия
Тип доверия: Лес
Транзитивность: переходный
В довершение этого леса отображаются как «транзитивные» в списке доверительных отношений активного каталога при просмотре через «Управление доменами и доверительными отношениями»
Означает ли это, что доверие леса является транзитивным В пределах доверяющего леса, но не для других лесов? Так в ранее упомянутом сценарии:
ForestA <-> ForestB <-> ForestC
Субдомены будут получать доверие леса через транзитивность (таким образом, subdom1. ForestA будет доверять office7. ForestB ), но будет общий доступ между ForestA и 1050 * леса ForestB *. Это правильно, или меня смутила довольно запутанная информация, которую публикует Microsoft? У кого-нибудь есть личный опыт, которым они могут поделиться?