活动目录服务的基本安装和配置

　　如图6.3中因为域 1 和域 2 有可传递信任关系，域 2 和域 3 有可传递信任关系，所以域 3 中的用户(在获得相应权限时)可访问域 1 中的资源。因为域 1 和域 A 具有可传递信任关系，

　　并且域 A 的域树中的其他域和域 A 具有可传递信任关系，所以域 B 中的用户(当授与适当权限时)可访问域 3 中的资源。

　　§　不可传递

　　不可传递信任受信任关系中的两个域的约束，并不流向树林中的任何其他域。在大多数情况下，用户必须明确建立不可传递信任。在 Windows 2000 域和 Windows NT 域之间的所有信任关系都是不可传递的。从 Windows NT 升级至 Windows 2000 时，目前所有的 Windows NT 信任都保持不动。在混和模式环境中，所有的 Windows NT 信任都是不可传递的。不可传递信任默认为单向信任关系。

　　§　外部信任

　　外部信任创建了与树林外部的域的信任关系。创建外部信任的优点在于使用户可以通过树林的信任路径不包含的域进行身份验证。所有的外部验证都是单向非转移的信任

　　§　快捷信任

　　快捷信任是双向可传递的信任，使用户可以缩短复杂树林中的路径。Windows 2000 同一树林中域之间的快捷信任是明确创建的。快捷信任具有优化的性能，能缩短与 Windows 2000 安全机制有关的信任路径以便进行身份验证。在树林中的两个域树之间使用快捷信任是最有效的。

　　6.1.4 站点

　　站点是由一个或多个 IP 子网中的一组计算机，确保目录信息的有效交换，站点中的计算机需要很好地连接，尤其是子网内的计算机。站点和域名称空间之间没有必要的连接。站点反映网络的物理结构，而域通常反映用户单位的逻辑结构。逻辑结构和物理结构相互独立，所以网络的物理结构及其域结构之间没有必要的相关性，Active Directory 允许单个站点中有多个域，单个域中有多个站点。