Ok, provavelmente é fácil, mas eu poderia jurar que li em um ou outro livro relacionado ao Active Directory, e agora não consigo tirar da minha cabeça mesmo que nenhuma outra fonte pareça confirmá-la, e parece desnecessária e errada. Poderia ser facilmente de alguma documentação que remonta aos primeiros betas do AD, pelo que sei.
A declaração foi que quando você cria um domínio filho (digamos "accounting.france.company.lcl") de um domínio (digamos "france.company.lcl") que já é um domínio filho da raiz da árvore domain (digamos "company.lcl"), o Active Directory não apenas criará uma confiança transitiva bidirecional entre esses dois domínios pai e filho, mas também uma confiança transitiva bidirecional automática diretamente entre o filho de nível inferior e a raiz de árvore. 2 passos para cima. Portanto, a confiança entre o domínio filho de nível inferior e o domínio de raiz de árvore não seria apenas implícito - transitivo através do domínio pai intermediário direto - mas também mais como uma relação de confiança de atalho.
Seria legal se alguém pudesse apagar isso da minha cabeça com uma declaração strong. : -)
De acordo com este artigo de technet , o padrão intra A arquitetura de confiança de árvore é enraizada e transitiva, não é full-mesh.
Minha cópia fiel do Active Directory do Windows 2000 da Lowe-Norris contém alguma linguagem confusa que poderia ser mal interpretada como implicando que um sistema de confiança de malha completa está configurado. Talvez seja de onde vem sua confusão?
Uma confiança do AD é representada no AD por um TDO (objeto trustedDomain). Se você visualizar a partição de domínio no ADSIEdit, verá que existe um TDO para o domínio pai direto de um domínio filho e seus domínios filhos (se existirem). Você não verá um TDO para nenhum trusts de atalho porque eles não são criados automaticamente entre domínios filho. O caminho da confiança é "vertical".
Tags active-directory