O sistema é compatível com relação de confiança externa (ou floresta) de transferência entre domínios em diversas florestas.
Isso inclui:
- Atribuição/qualificação de usuários/grupos em uma floresta para recursos de uma outra floresta.
- Suporte para relações de confiança de entrada unidirecionais.
Para que esta funcionalidade funcione, é preciso fazer o seguinte.
- Registrar todos os domínios de todas as florestas que contêm contas e áreas de trabalho que deseja usar.
- Registrar os domínios raiz de floresta de ambos os lados de uma relação de confiança de floresta. Isso é necessário para permitir que o locatário conecte-se às raízes de floresta e decodifique o objeto de domínio confiável (TDO) relevante. Esse requisito é válido mesmo que não haja áreas de trabalho ou usuários DaaS dentro dos domínios raiz de floresta.
- Ativar catálogo global para no mínimo um dos domínios registrados em cada floresta. Para desempenho ideal, todos os domínios registrados devem possuir o catálogo global ativado.
- Para qualificar grupos de florestas diferentes para uma área de trabalho, registre ao menos um grupo universal para cada floresta. Não é suportada a qualificação/atribuição usando grupos locais de domínio. Assim, o sistema filtra FSPs a partir do DNs do “atributo” de membro e tokenGroups.
- Siga uma estrutura hierárquica em relação ao nome DNS e o contexto de nomeação de raiz para domínios de floresta. Por exemplo, se o domínio pai é chamado de example.edu, o domínio filho será chamado de vpc.example.edu, e não vpc.com.
- Evite possuir um domínio a partir de uma floresta confiável externamente com um nome NETBIOS conflitante, pois tais domínios serão excluídos. O nome NETBIOS registrado sempre prevalecerá sobre um nome NETBIOS conflitante encontrado durante a enumeração de domínios de floresta confiáveis.