Uma relação de confiança entre florestas é, por definição, impossível quando os domínios não estão em florestas diferentes.
Você precisará conversar bem com o gerente que fez essa ligação e explicar que esses dois requisitos conflitam, infelizmente.
Usando um domínio do AD existente (company.net), precisamos adicionar um domínio filho (untrusted.company.net) a uma relação de confiança unidirecional. Testes em meu laboratório e a pesquisa do Google que fiz parecem sugerir que isso é impossível de conseguir, pois há uma confiança bidirecional imutável padrão estabelecida quando um domínio filho é criado.
Alguém sabe de uma maneira de atingir esse objetivo?
Eu sei que posso criar uma floresta separada, mas isso foi rejeitado pelo meu chefe. A gerência da minha empresa (boo ... hiss ..) exige que esse seja um domínio filho real.
Detalhes: O domínio e a floresta existentes são de nível funcional de 2008 nas caixas r2 SP1 de 2008. O domínio filho estará no 2008 R2 SP1 e começará em um nível funcional de 2008.
O domínio filho possui uma confiança transitiva bidirecional incorporada. Você não pode modificar esse comportamento. Se você precisar de um limite de segurança, precisará de florestas separadas.
Domínios separados criam limites de gerenciamento. Florestas separadas criam limites de segurança.