主域和受信任域

以下术语描述远程系统上存在的域。

主域

主域是负责建立进一步信任关系和执行身份验证 (或将身份验证请求传递到适当的受信任域) 的域。主域中的域控制器处理或传递源自工作站的身份验证请求。

登录时，LSA 会检查内置域和帐户域的身份验证信息。如果登录的帐户不在上述任一域中，则登录请求将传递到系统的主域。

受信任的域是本地系统信任用于对用户进行身份验证的域。换句话说，如果用户或应用程序由受信任的域进行身份验证，则信任身份验证域的所有域都接受此身份验证。

每个从属域自动与main域建立双向信任关系。默认情况下，此信任是可传递的，这意味着，如果系统信任域 A，它还信任域 A 信任的所有域。早于 Windows 2000 的操作系统也支持单向信任，后者不支持可传递的双向信任。

本地安全机构 (LSA) 具有对象类型 TrustedDomain，用于存储有关信任关系的信息，包括受信任域的名称和安全标识符 (SID) 、域中用于身份验证请求的帐户、名称和 SID 转换请求，以及受信任域中域控制器的名称。

在域控制器上，LSA 为本地系统信任的每个域创建 TrustedDomain 对象的实例。

例如，如果 Windows XP 工作站信任一个 Windows 2000 域控制器，而该域控制器又信任其他四个系统，则使用可传递信任连接的工作站将在其本地系统上具有五个 TrustedDomain 对象。