XX医疗有限公司在日常办公之中使用的域是abc.com（一个林），由于集团内新开了一家医院这个医院需要独立核算等要求，所以需要建立另外一个域XYZ.com;然后让xyz.co可以跨林访问abc.com的共享文件夹，如何达到这一使用要求呢； 让我们来看这次实验的拓扑图： 1.首先让我们了解一下信任关系的概念： 在一般的情况下，林中的默认信任域关系的特点一般有3个特点 自动建立：林中的域之间的信任关系是在创建子域或者域树时自动创建的； 传递信任：林中的域的信任关系是可传递的：就像“张三”信任“李四”，“李四”信任“王二”，而“张三”又信任“王二” 双向信任：双向信任是指在两个域之间有两个方向上的两条信任：就像“张三”相信“李四”，“李四”相信“张三”一样； 信任的类型：林中的信任、林之间的信任 林中的信任分为：树根信任和父子信任；林之间的信任是自动建立的，而且是双向的可传递的信任关系；虽然信任关系的建立为跨访问资源提供了前提条件，但是成功访问还是必须设置权限：这就需要AGDLP规则 树根信任：在同一个林中的两个域树之间的存在父子信任：在同一个域树中父域和子域之间的存在`林之间的信任分为：外部信任和林信任 外部信任是指在不同林的域之间创建的不可信任的传递；林信任是在windows service 2003林中特有的信任；是windows service 2003林根域之间的建立的信任，在两个windows service 2003 林之间创建林信任可为任一林内的各个域之间提供一种单项或者双向的可传递的信任关系 2.从上看出，我们的信任关系一共有5种，分别为林内的：1.父子信任2.树根信任 3.快捷信任 林间的：4.外部信任 5.林信任 因为实验环境的关系，我们只演示外部信任和林信任，其余操作步骤大同小异； 3.首先让我们来建立外部信任： 我们要保证双方的DNS可以进行互相解析，我们的这两台DC又是DNS服务器，所以我们采取加入对方的DNS辅助区域的办法和互相设置转发器的办法进行解析，操作步骤如图： dcabc: dcxyz: 设置对方互为转发器： 在dcabc上设置转发器 在dcxyz上设置转发器 建立互相指定为转发器后，就可以进行互相的解析了，但是在微软的官方文档中，并不是很推荐这种方法，微软建议采用建立对方为DNS辅助区域的办法进行解析，下面让我们来截图看看： 1.在dcabc上面允许区域传送至dcxyz上 2.在dcabc上设置dcxyz的辅助区域： 至此：dcabc上加载dcxyz上辅助区域已经完成，在dcxyz的dns服务器上也需进行同样操作，在这里就不一一进行演示了； 3.在dcabc和dcxyz上分别解析对方的域名： 下一步让我们dcabc上建立林之间双向的外部信任关系：（外部信任关系是不可传递的） 打开dcabc上的活动目录域和信任关系，对着abc.com右击属性：
在“信任名称”页面上，键入另一个林的 DNS 名称(xyz.com）或 NetBIOS名称（MKT），然后单击“下一步” 在“信任方向”页面， 选择 “双向”，表示两个域中的用户可以相互访问对方的资源 选择“ 这个域和指定的域”，表示同时在两个域中建立信任关系，但需要有指定域的 输入xyz.com有创建信任权限的用户名和密码 在“传出信任身份验证级别—本地域”，选择“全域性身份验证”，表示域xyz.com 中经过身份验证的用户可以使用本地域中的资源 确认将信任传出和传入： 之后我们的林之间的外部信任建立完成，同时我们将abc.com和xyz.com上进行查看，查看外部信任关系建立成功。 4.外部信任关系建立完成后，下面让我们做一下林信任的实验：步骤基本相同； 林信任属于可以传递的信任，必须在林根域才能建立： 至此，林信任关系也已建立完毕； 下面让我们利用AGDLP规则，进行一下ABC.com域访问XYZ.com域中的资源 AGDLP意思是:A( 帐户),加入G(全局组),再加到对方域的DL(域本地组),分配P(权限). 我们让ABC.Com中得xiaohe用户加入beijing全局组： 此时将xiaohe用户加入beijing全局组，即实现了AG； AG说了,下面让我们来进行DLP，在xyz.com上建立本地域组，并为其赋予权限； 让我们在xyz.com上建立共享文件夹share，并为其赋予权限； 现在我们就可以通过将abc.com的beijing全局组加入xyz.com的DL本地域组，来进行访问了； 以上我们的AGDlp访问规则，也已经实现；