Windows 2000使公司可以将不同的商业单元集成到一个统一的结构中，这个结构就是活动目录森林，这在Windows NT 4.0中是不可能的。许多在NT 4.0域中不能共存的商业单元现在可以在活动目录的组织单元(OUs)或域中和平共处。但是正如一些使用单 森林结构的人所说，也存在一些商业单元不能共处的场合。有时商业需求或政治原因要求您实现分离的森林。在许多情况下，分离森林中的用户仍然需要访问中心森林中的资源。因此，你需要在中心森林和其他森林之间建立信任关系。Windows 2003在不同森林域之间建立信任关系的方法与NT 4.0一致。但是Windows Server 2003新的森林信任功能使其变得更简单。
　　多森林范例

　　从信息安全的角度观察，域不仅是安全边界，而且还是复制与管理的边界。根域管理员组、域管理员组和企业管理员组的成员可以轻易地访问森林中的任何机器。将资源真正隔离的唯一办法就是将它们放入分离的森林中。

　　我们不需要放弃只建立单森林的想法，但我们需要改变一下，即：将森林数量控制在最小，并且只在必需时增加森林。关于如何确定是否创建森林的标准，参见微软白皮书“Design Considerations for Delegation of Administration in Active Directory”(http://www.microsoft.com/windows2000/techinfo/planning/activedirectory/addeladmin.asp)。这个白皮书清晰地说明了OU、域和森林之间的安全边界，并说明了如何确定是否将商业单元放入分离森林的过程。

　　什么时候需要分离的森林呢？这在几种情形下需要。最常见的情形是需要保证管理自治(相当于“我不信任您”)。另一种情形是主体的商业单元自己运行Windows 2000森林，并且不能立即更新，由于这个森林还需要一段时间，因此你需要找到与它共存的方法。还有一种情形与森林架构有关，请记住架构(例如AD结构定义)在整个森林中共享，如果你要频繁更改架构，你应该在分离的森林中做这些事情，这样只在需要时更改中心森林架构。

　　资源分离是另一个建立分离森林的重要原因。例如，法律代理部门的信息需要分离，受保护的合同也需要分离。一些像银行这样的产业，如果将客户信息共享会受到处罚。

  Windows 2000的森林内信任


　　在Windos 2000的一个森林内，Kerberos安全协议自动建立域间信任关系。Kerberos的一个重要功能是支持信任传递。如果A域信任域，B域信任C域，则A域自动信任C域。记忆信任传递的简单办法就是记住“你的朋友就是我的朋友”。这个功能使域树的概念成为可能，Kerberos票据自动传递使森林中的一个域可以自动信任其他域。Kerberos在森林中的双向信任也叫“内部信任”。若要更多了解Windows 2000的Kerberos技术，参见微软白皮书“Windows 2000 Kerberos Authentication”(http://www.microsoft.com/windows2000/techinfo/howitworks/security/kerberos.asp)。

　　Windows 2000的森林间信任

　　森林之外的信任关系更原始一些。在Windows 2000中，Kerberos无法建立跨森林的信任。NT LAN Manager(NTLM)将建立与其他森林的NT 4.0域和Windows 2000域之间的信任关系。这些信任称为“外部信任”(第三种信任，即“快捷信任”，使用Kerberos直接连接两个域树的子域，以提高性能)。

　　外部信任与NT 4.0信任有相同的限制：外部信任不如Kerberos信任安全，并且不能传递。因此，你很快会陷入和NT 4.0一样的境地，你必须在每个森林的每个域维护信任。

　　Windows 2003的森林信任

　　森林信任是连接两个森林根域的一种信任。森林信任使您可以用简单轻松的方式将友好森林绑到一起，比NTLM信任更快、更灵活。由于森林信任用Kerberos替代了NTLM，两个森林之间的信任是可传递的。例如，如果森林A信任森林B，则森林A中的所有域也信任森林B中的所有域。然而，这种信任不在森林间传递，如果森林A信任森林B，森林B信任森林C，森林A并不能自动信任森林C。这和NTLM信任的规则一样，但是它被放大到适合于域森林，和NTLM信任一样，你可以建立单向或双向信任。

　　森林信任的优点

　　森林信任的两个优点是跨森林认证和授权。跨森林认证使被信任森林中的用户可以登录到信任森林的机器上，而不用重复创建账号。跨森林授权同样使你可以对被信任森林的用户分配权限，以便他们访问信任森林的资源，同样无需重复账号。这个行为不会危害森林安全边界。

　　尽管你可以在森林间建立外部信任，但使用基于Kerberos的森林信任极大地减少了森林间所需信任的数量。如果在两个森林的所有域之间建立信任关系，你可以用下面的公式计算所需外部信任的数量。外部信任总数＝(1单向信任或2双向信任)×（森林A中的域数)×（森林B中的域数)。

　　例如，假设你有一个包含三个域的开发森林(DEV)和一个包含四个域的生产森林(PROD)，你希望跨森林建立所有域之间的双向信任关系。则你需要建立24个信任，既2×3×4。这个数量虽然不便却还可以忍受，但是如果你决定加入一个包含四个域的集成森林(INT)，信任拓扑将更为复杂。你现在有三组信任关系：DEV到PROD，DEV到INT，PROD到INT。这样需维护的信任总数将达到80。

　　森林信任让你可以实现的一个重要策略就是账号森林配置。一个账号森林本质上是NT 4.0中账号域或资源域配置的放大。要建立账号森林，首先要确保所有账号在主要森林中，然后建立从其他资源森林到主要森林的单向信任(关于建立单向信任的信息，参见附文“轻松创建单向信任”)。用户可以使用主要森林的账号登录到任何联盟森林中。你甚至可以将建立信任的管理权委派给不属于企业管理组的用户。


你也许奇怪，为何Windows 2003的森林信任可以包含其他森林，而Windows 2000的外部信任却不能。在Windows 2003中，信任域对象(TDO)描述了外部信任和森林信任的基本信息。在森林信任中，TDO包含一个称为“森林信任信息”的附加属性。这个属性包含远程森林内所有域的信息，树名称以及可选名称后缀。这个信息对于路由认证和查询远程森林是必要的。全局目录(GC)存储这些信息，因此所有域控制器(DC)都可以查询这些信息。


　　用Windows 2003配置一个森林信任

　　要构建森林信任，必须确保两个森林都处于Windows 2003的森林功能级别上。两个森林的每一个DC都必须运行Windows 2003，每个域都必须升级到Windows 2003的域功能级别，并且两个森林也必须升级到Windows 2003的森林功能级别。要了解关于功能级别的更多信息，参见“What's New and What's Improved in Windows。NET Server？”(http://www.winnetmag.com，InstantDoc ID 24316)。

　　接下来，两个森林的根域必须可以