在创建林信任时可以选择“全林性身份验证”和“选择性身份验证”两种身份验证级别。其中“全林性身份验证”是由系统自动对跨林的用户在访问本地林时进行身份验证,不须要管理员干预,一般用在两个林都属于同一个组织的情况下;但如果两个林分属不同的组织,那么最好不要选择“全林性身份验证”,而应使用“选择性身份验证”。

当使用了“选择性身份验证”的身份验证级别后,我们应手工指定被信任域的用户所能够访问信任域中的特定的资源。

要让被信任域的指定用户可以访问信任域的资源,要在信任域中的计算机属性里设置允许被信任域的用户可以得到验证。

具体做法:

  1. 设置“AD用户与计算机”管理工具,使其显示高级属性;
  2. 在信任域中,找到允许被信任域的用户能够访问的计算机对象,右击,选择属性并找到安全选项卡;
  3. 添加被信任域的指定用户,并勾选“允许身份验证”;
  4. 这时,被信任域的指定用户就可以访问信任域中的指定计算机了。