Kao alternativu izvršavanja restruktuiranja domena, možemo da iskoristimo Interforest Trust ili Forests Trust iz jedne Windows Server 2008 šume da bismo mogli da pristupamo resursima u drugoj Windows Server 2008 šumi.
Jedno od značajnijih unapređenja koja su se dogodila u Windows Server 2003 Active Directory je bila opcija za kreiranje poverenja između AD DS šuma. U Windows 2000 aktivnom direktorijumu, administrator je mogao samo da kreira poverenje između jednog domena u jednoj šumi i jednog domena u drugoj šumi. U Windows Server 2003 i Windows Server 2008, administrator može da konfiguriše poverenje između Forest Root domena. Ovo poverenje može da bude One-way (jednosmerno) ili Two-way (dvosmerno) poverenje. Nakon kreiranja poverenja, možemo da iskoristimo globalne grupe ili univerzalne grupe iz jedne šume da bismo dodelili dozvole za resurse koji se nalaze u drugoj šumi.
Kreiranje poverenja između dve šume omogućava samo deljenje resursa između tih šuma. Sve druge Forest-level odlike i dalje se primenjuju nakon kreiranja poverenja. Na primer, kreiranje poverenja ne znači da će šume deliti globalni katalog (GC) ili Common Shema-u. Kada kreiramo Forest Trust u aktivnom direktorijumu, poverenje automatski omogućava Name Suffix Routing između dve šume. Sa Name Suffix Routing-om korisnici mogu da koriste User Principal Names (UPNs) prilikom Log-ovanja na bilo koji domen u obe šume. Na primer, ako kreiramo Forest Trust između šume Link-group.com i šume Itakademy.com, korisnici iz šume Itacademy.com će moći da se uloguju na radne stanice koje se nalaze u Link-group.com koristeći svoj username@itacademy.com UPN. Name Suffix Routing se podrazumevano primenjuje na sva First-level imena domena koja su dostupna u šumi. Ovo uključuje i podrazumevane UPN sufikse i sve alternativne sufikse koji su konfigurisani u šumi. Name Suffix Routing neće raditi između šuma samo u slučaju kada smo konfigurisali isti UPN sufiks u obe šume.
Kada prvi put omogućimo Forest Trust, svi First-level domen sufiksi se automatski rutiraju u UPN poverenje. Svi sufiksi u Child domenima se implicitno rutiraju kroz Parent Domain Suffix. Ako šumi dodamo još jedan UPN Suffix nakon kreiranja poverenja, moraćemo da omogućimo Name Suffix Routing za novi Suffix. Ovo možemo da odradimo proverom poverenja između domena ili ručnim dodavanjem novog sufiksa u Name Suffix Routing Tab u Trust Properties-u.
Da bismo kreirali Forest Trust, šuma mora da radi na Windows Server 2003 ili na Windows Server 2008 Forest funkcionalnom nivou. Samo članovi Enterprise Admins grupe u šumi imaju dozvole da kreiraju Forest Trust.
Da bismo kreirali Forest Trust, potrebno je da koristimo sledeću proceduru:
1. Startujemo administrativni alat Active Directory Domains and Trusts. Desni klik na ime Forest Root domena i kliknemo na Properties (Slika 1).
Slika 1.
2. U dijalogu osobina domena selektujemo karticu Trust i kliknemo na dugme New Trust nakon čega će se pokrenuti New Trust Wizard (Slike 2 i 3).
Slika 2
Slika 3
3. Moramo da odaberemo tip poverenja - Trust-a koje želimo da kreiramo. Možemo da kreiramo sledeće tipove poverenja:
External poverenje nije tranzitivno poverenje (Nontransitive) dok je Forest Trust uvek tranzitivno. Mi ćemo u ovom primeru izabrati Forest Trust sa domenom link.co.rs koji se nalazi u drugoj šumi (Slike 4 i 5).
Slika 4
Slika 5
4. U ovom trenutku je potrebno da naznačimo pravac poverenja (Direction). Imamo sledeće opcije: Two-way, One-way Incoming, One-way Outgoing a mi ćemo u ovom slučaju izabrati Two-way tj. obostrano poverenje (Slika 6).
Slika 6
5. Moramo da napravimo izbor da li želimo da kreiramo poverenje samo za ovaj domen ili se poverenje odnosi i na sve druge domene. Forest Trust se može konfigurisati samo između Forest Root domena. Ako izaberemo da konfigurišemo obe strane poverenja u isto vreme, moraćemo da upišemo Username i Password Enterprise administratora. Ako izaberemo da podesimo poverenje samo za ovaj domen, od nas će se tražiti da upišemo lozinku koja će se koristiti za konfiguraciju iniciranja poverenja. Moraćemo da koristimo ovu lozinku kada konfigurišemo poverenje u Forest Root domenu iz drugih šuma (Slike 7 i 8).
Slika 7
Slika 8
6. Nakon toga moraćemo da odaberemo nivo autentifikacije koja će se odrađivati i za dolazeće i za odlazeće poverenje (Incoming & Outgoing Trust). Ova opcija nam dozvoljava da pažljivo kontrolišemo pristup resursima između šuma. Ako primenimo Forest-wide autentifikaciju, korisnici iz jedne šume će imati pristup svim serverima i resursima koji se nalaze u drugoj šumi. Ovo je ista konfiguracija kao poverenje između domena unutar šume. Korisnici iz jednog domena u šumi mogu da pristupaju resursima koji se nalaze u bilo kom drugom domenu i bilo kojoj šumi jer poseduju dozvole za pristupanje resursima. Takođe, možemo da primenimo i selektivnu autentifikaciju za Forest Trust. U ovom slučaju, moramo eksplicitno da damo dozvolu korisnicima ili grupama iz jedne šume da mogu da pristupaju serverima koji se nalaze u drugoj šumi. Ovo možemo da odradimo dodeljivanjem Allowed To Authenticate right in Active Directory korisnicima ili grupama (Slika 9).
Slika 9
7. Nakon konfiguracije poverenja, imamo opciju da automatski proverimo poverenje.
Sa Two-way, transitivnim Forest poverenjem, korisnici će sada moći da pristupaju deljenim resursima koji se nalaze u drugoj šumi.