O sistema é compatível com relação de confiança externa (ou floresta) de transferência entre domínios em diversas florestas.
Isso inclui:
Atribuição/qualificação de usuários/grupos em uma floresta para recursos de uma outra floresta.
Suporte para relações de confiança de entrada unidirecionais.
Para que esta funcionalidade funcione, é preciso fazer o seguinte.
Registrar todos os domínios de todas as florestas que contêm contas e áreas de trabalho que deseja usar.
Registrar os domínios raiz de floresta de ambos os lados de uma relação de confiança de floresta. Isso é necessário para permitir que o locatário conecte-se às raízes de floresta e decodifique o objeto de domínio confiável (TDO) relevante. Esse requisito é válido mesmo que não haja áreas de trabalho ou usuários DaaS dentro dos domínios raiz de floresta.
Ativar catálogo global para no mínimo um dos domínios registrados em cada floresta. Para desempenho ideal, todos os domínios registrados devem possuir o catálogo global ativado.
Para qualificar grupos de florestas diferentes para uma área de trabalho, registre ao menos um grupo universal para cada floresta. Não é suportada a qualificação/atribuição usando grupos locais de domínio. Assim, o sistema filtra FSPs a partir do DNs do “atributo” de membro e tokenGroups.
Siga uma estrutura hierárquica em relação ao nome DNS e o contexto de nomeação de raiz para domínios de floresta. Por exemplo, se o domínio pai é chamado de example.edu, o domínio filho será chamado de vpc.example.edu, e não vpc.com.
Evite possuir um domínio a partir de uma floresta confiável externamente com um nome NETBIOS conflitante, pois tais domínios serão excluídos. O nome NETBIOS registrado sempre prevalecerá sobre um nome NETBIOS conflitante encontrado durante a enumeração de domínios de floresta confiáveis.