树根信任混淆

Question

好吧，这可能很简单，但我可以发誓，我在一本或另一本与Active相关的书中读过它，现在我无法将它从脑海中移开，即使没有其他来源似乎证实了这一点，这听起来是不必要的，也是错误的。据我所知，这可以很容易地从一些可以追溯到AD早期的文档中得到。

声明是，当您创建一个本身已经是树根域的子域(例如"accounting.france.company.lcl")的域(例如“france.company.lcl”)时，Active将不仅在这两个父域和子域之间创建双向传递信任，而且在底层子域和树根2级之间直接创建一个双向传递信任。因此，下层子域和树根域之间的信任不仅是隐式的--通过中间直接父域传递--而且更像是快捷信任。

如果有人能用一句有力的话把这句话从我脑中抹去，那就太好了。:-)

Answer 1

根据这篇technet文章的说法，默认的树内信任架构是基于根的和传递的，而不是全网格的。

我信赖的洛-诺里斯(Lowe)的Windows 2000 Active Directory的副本确实包含了一些令人困惑的语言，这些语言可能被误解为意味着建立了一个完整的信任系统，也许这就是你的困惑之所在？

Answer 2

AD信任在AD中由TDO (trustedDomain对象)表示。如果在ADSIEdit中查看域分区，您将看到子域的直接父域和其子域(如果存在)存在一个TDO。您不会看到任何快捷信任的TDO，因为它们不是在子域之间自动创建的。信任路径是“垂直的”。