信任关系
不同域之间要能互访，需要域之间存在信任关系。

信任关系分为可传递信任和非可传递信任。

可传递信任：任何一个域被加入到域目录树后，这个域都会自动信任父域，同时父域也会自动信任这个新域，而且这些信任关系具备双向传递性。

为了解决用户跨域访问资源的问题，可以在域之间引入信任，有了信任关系，域A的用户想要访问B域中的资源，让域B信任域A就行了。

信任关系分为单向和双向，如图所示。

图中①是单向的信任关系，箭头指向被信任的域，即域A信任域B，域A称为信任域，域B被称为被信任域，因此域B的用户可以访问域A中的资源。

图中②是双向的信任关系，域A信任域B的同时域B也信任域A，因此域A的用户可以访问域B的资源，反之亦然。

在域树中，父域和子域的信任关系是双向可传递的，因此域树中的一个域隐含地信任域树中所有的域。

另一种可传递信任不是默认的，可以通过在不同林根域之间建立信任关系来实现，如P53图2-71。

在域之间建立信任关系时，注意信任传递带来的隐含信任，如图2-72。

非可传递信任：
非可传递信任的域之间必须通过手动创建信任，才能实现域间资源访问。

可以创建的有：
●Server 2003/2008域与NT域
●Server 2003/2008域与另一个林中的Server 2003/2008域（当两个林之间没有林信
任关系时）
●Server 2003/2008域与2000域
●Active Directory域与Kerberos V5域
操作：为两个域创建信任关系（TrustRelationship.exe）。

在两域间创建信任关系，需要满足能对两域进行解析。

所以首先在DNS服务器上进行区域的创建，并允许区域传送。

参考P55设置信任关系。

通过对域间资源访问进行验证。