O sistema é compatível com relação de confiança externa (ou floresta) de transferência entre domínios em diversas florestas.

Isso inclui:

• Atribuição/qualificação de usuários/grupos em uma floresta para recursos de uma outra floresta.

• Suporte para relações de confiança de entrada unidirecionais.

Para que esta funcionalidade funcione, é preciso fazer o seguinte.

• Registrar todos os domínios de todas as florestas que contêm contas e áreas de trabalho que deseja usar.

• Registrar os domínios raiz de floresta de ambos os lados de uma relação de confiança de floresta. Isso é necessário para permitir que o locatário conecte-se às raízes de floresta e decodifique o objeto de domínio confiável (TDO) relevante. Esse requisito é válido mesmo que não haja áreas de trabalho ou usuários DaaS dentro dos domínios raiz de floresta.

• Ativar catálogo global para no mínimo um dos domínios registrados em cada floresta. Para desempenho ideal, todos os domínios registrados devem possuir o catálogo global ativado.

• Para qualificar grupos de florestas diferentes para uma área de trabalho, registre ao menos um grupo universal para cada floresta. Não é suportada a qualificação/atribuição usando grupos locais de domínio. Assim, o sistema filtra FSPs a partir do DNs do “atributo” de membro e tokenGroups.

• Siga uma estrutura hierárquica em relação ao nome DNS e o contexto de nomeação de raiz para domínios de floresta. Por exemplo, se o domínio pai é chamado de example.edu, o domínio filho será chamado de vpc.example.edu, e não vpc.com.

• Evite possuir um domínio a partir de uma floresta confiável externamente com um nome NETBIOS conflitante, pois tais domínios serão excluídos. O nome NETBIOS registrado sempre prevalecerá sobre um nome NETBIOS conflitante encontrado durante a enumeração de domínios de floresta confiáveis.