Когда следует создавать внешнее отношение доверия
Внешнее отношение доверия можно создать, чтобы сформировать одностороннее или двустороннее нетранзитивное отношение доверия с доменами, которые находятся за пределами леса пользователя. Внешние отношения доверия бывают необходимы, когда пользователям требуется доступ к ресурсам в домене Windows NT 4.0 или домене, который расположен в отдельном лесу, с которым не установлено доверие леса, как показано на следующей иллюстрации.
При установлении отношения доверия между доменом в конкретном лесу и доменом за пределами этого леса субъекты безопасности из внешнего домена имеют доступ к ресурсам во внутреннем домене. Доменные службы Active Directory (AD DS) создают объект субъекта внешней безопасности во внутреннем домене, чтобы представлять каждого субъекта безопасности из доверенного внешнего домена. Эти субъекты внешней безопасности могут стать членами локальных групп домена во внутреннем домене. Локальные группы домена могут включать членов из доменов за пределами леса.
Объекты каталогов для субъектов внешней безопасности создаются AD DS; их не следует изменять вручную. Включив дополнительные возможности, в оснастке «Active Directory - пользователи и компьютеры» можно просмотреть объекты субъекты внешней безопасности. (В меню Вид выберите пункт Дополнительные компоненты.)
Дополнительные сведения о создании внешнего отношения доверия см. в разделе Создание внешнего доверия.