Транзитивные доверительные отношения
Все домены дерева поддерживают транзитивные двухсторонние доверительные отношения с другими доменами в этом дереве. В примере, рассмотренном выше, когда домен comp_1.sources.com создается как дочерний домен корневого домена sources.com, автоматически создаются двухсторонние доверительные отношения между доменами comp_1.sources.com и sources.com. Через доверительные отношения любой пользователь в домене comp_1.sources.com может обращаться к любому ресурсу в домене sources.com, на доступ к которому есть разрешение. Аналогично, если в домене sources.com имеются какие-либо участники безопасности (как в не назначенном корневом домене), им можно давать доступ к ресурсам домена comp_1.sources.com.
В пределах леса доверительные отношения устанавливаются или как родительско-дочерние доверительные отношения, или как доверительные отношения корня дерева (tree root). Примером родительско-дочерних доверительных отношений являются отношения между доменами comp_1.sources.com и sources.com. Доверительные отношения корня дерева - это отношения между двумя деревьями в лесу, например, между sources.com и abc.com.
Все доверительные отношения между доменами леса являются транзитивными. Это означает, что все домены в лесу доверяют друг другу. Если домен sources.com доверяет домену comp_1.sources.com и домен comp_2.sources.com доверяет домену sources.com, то транзитивность указывает на то, что домен comp_2.sources.com также доверяет домену comp_1.sources.com. Поэтому пользователи в домене comp_1.sources.com могут обращаться к ресурсам, имеющимся в домене comp_2.sources.com, и наоборот. Свойство транзитивности доверительных отношений применимо к доверительным отношениям корня дерева. Домен comp_1.sources.com доверяет домену sources.com, и домен sources.com доверяет домену abc.com. Поэтому домен comp_1.sources.com и домен abc.com также имеют транзитивные доверительные отношения друг с другом.
Односторонние доверительные отношения
В дополнение к двухсторонним транзитивным доверительным отношениям, которые устанавливаются при создании нового дочернего домена, между доменами леса могут быть созданы односторонние доверительные отношения. Это делается для того, чтобы разрешить доступ к ресурсам между доменами, которые не состоят в прямых доверительных отношениях. Односторонние доверительные отношения также используются для оптимизации производительности работы между доменами, которые связаны транзитивными доверительными отношениями. Эти односторонние доверительные отношения называются укороченными доверительными отношениями (shortcut trusts). Укороченные доверительные отношения нужны в том случае, когда требуется частый доступ к ресурсам между доменами, которые удаленно связаны через дерево домена или лес. Примером этому является лес sources.com, изображенный на рисунке 2.
Рис.2 Доверительные отношения в лесу sources.com
Если группа безопасности в домене finance.comp_1.sources.com часто обращается к общему ресурсу в домене research.comp_2.sources.com, то при наличии только транзитивных доверительных отношения между доменами пользователи в домене finance.comp_1.sources.com должны подтверждать подлинность в каждом домене дерева, расположенном между ними и доменом, который содержит ресурс. Такая организация работы неэффективна, если часто возникает потребность доступа к этим ресурсам. Укороченные доверительные отношения являются прямыми односторонними доверительными отношениями, которые дадут возможность пользователям в домене finance.comp_1.sources.com эффективно подтверждать подлинность в домене research.comp_2.sources.com без необходимости пересекать все дерево каталога, чтобы туда добраться. На рисунке 3 показаны эти прямые доверительные отношения.
Рис. 3 Прямые доверительные отношения
Если возникает потребность установить такие же доверительные отношения в другом направлении, можно создать прямые доверительные отношения между этими двумя доменами, взаимно изменив их роли. (Такие двойные прямые доверительные отношения кажутся транзитивными отношениями, но эти исключительные доверительные отношения не простираются за пределы этих двух доменов).