El sistema admite el recorrido de confianzas externas (o de bosque) entre dominios de diferentes bosques.
Esto incluye:
Asignación o autorización de los usuarios o grupos de un bosque en los recursos de otro bosque.
Compatibilidad con las confianzas unidireccionales
Para poder utilizar esta función, debe realizar los siguientes pasos:
Registre todos los dominios de todos los bosques que incluyan cuentas y escritorios que desee utilizar.
Registre los dominios raíz de bosque desde ambos lados de una confianza de bosque. Esto es obligatorio para permitir que el arrendatario se conecte a las raíces del bosque y descodifique el TDO relevante. Este requisito se mantiene incluso si no hay usuarios ni escritorios DaaS en los dominios raíz del bosque.
Habilite el catálogo global para al menos uno de los dominios registrados en cada bosque. Para obtener un rendimiento óptimo, todos los dominios registrados deben tener el catálogo global habilitado.
Para autorizar a grupos de diferentes bosques en un escritorio, registre al menos un grupo universal de cada uno de los bosques. No se admiten la autorización ni la asignación utilizando grupos locales de dominios. Como resultado, el sistema excluye los certificados FSP de los tokenGroups y los DN del atributo "member".
Siga una estructura jerárquica con respecto al contexto de nomenclatura raíz y al nombre de DNS para dominios de bosque. Por ejemplo, si el dominio principal se denomina example.edu, un dominio secundario debería denominarse called vpc.example.edu, pero no vpc.com.
Evite tener un dominio de un bosque en el que se confía externamente con un nombre NETBIOS en conflicto, ya que este tipo de dominios se excluirán. El nombre NETBIOS registrado prevalece sobre un nombre NETBIOS en conflicto detectado durante la enumeración de los dominios de un bosque de confianza.