系统支持遍历不同林中的域之间的外部(或林)信任关系。

这包括:

  • 将一个林中的用户/组分配给(或授权其访问)不同林中的资源。

  • 支持单向信任。

要使此功能正常运行,您必须执行以下操作。

  • 在包含您要使用的帐户和桌面的所有林中注册所有域。

  • 从林信任的两端注册林根域。要允许租户连接到林根并对相关 TDO 进行解码,必须执行此操作。即使林根域中没有 DaaS 桌面或用户,也需要这样做。

  • 至少为每个林中的一个已注册域启用全局目录。要获得最佳性能,所有已注册的域都应启用全局目录。

  • 要授权不同林中的组访问某个桌面,必须在每个林中至少注册一个通用组。不支持使用域本地组进行授权/分配。最终,系统会从“member”属性 DN 和 tokenGroup 中筛选出 FSP。

  • 遵循关于林域的 DNS 名称和根命名上下文的层次结构。例如,如果父域名为 example.edu,则子域可以名为 vpc.example.edu,而不是 vpc.com。

  • 避免使外部受信任林中的域具有冲突性 NETBIOS 名称,因为此类域将被排除。已注册的 NETBIOS 名称的优先级将始终高于在受信任林域的枚举期间找到的冲突性 NETBIOS 名称。