Создание транзитивных отношений доверия между лесами
Особой характеристикой реализации AD DS в Windows Server 2008 R2 является возможность создания транзитивных отношений доверия между лесами (cross-forest transitive trusts). Эта возможность, по сути, позволяет устанавливать между двумя лесами с совершенно отдельными схемами транзитивные отношения доверия и тем самым обеспечивать пользователей из этих лесов общим доступом к информации и общей схемой аутентификации.
Возможность устанавливать и синхронизировать отношения доверия между лесами, однако, не появляется автоматически и требует сначала повысить функциональный уровень каждого леса до уровня хотя бы Windows Server 2003 или выше.
Модель проектирования федеративного леса идеально подходит для двух случаев. Первым является необходимость объединения двух несопоставимых структур AD DS, которая возникает в результате приобретения других компаний, слияния с другими корпорациями или проведения других видов организационной реструктуризации. В подобных ситуациях должна быть налажена связь между двумя лесами AD для обеспечения обмена информацией. Например, две крупных организации с полностью заполненными данными лесами AD при слиянии могли бы воспользоваться такой моделью и соединить свои среды.
Вторым сценарием, при котором может выбираться проектирование такой структуры лесов, является ситуация, когда различным подразделениям и филиалам внутри организа-, ции требуется полная защита и права на владение информационной структурой, но все равно с возможностью осуществления обмена информацией.
Проектирование структуры такого типа иногда вызвано потребностью в полной изоляции границ безопасности между различными подразделениями организации. Со времени выхода AD DS в Windows 2000 Server было обнаружено несколько уязвимых мест в системе обеспечения безопасности между доменами
