以下术语描述远程系统上存在的域。
主域
主域是负责建立进一步信任关系和执行身份验证的域(或将身份验证请求传递到适当的受信任域)。 主域句柄中的域控制器或传递源自工作站的身份验证请求。
登录时,LSA 会检查内置域和帐户域以获取身份验证信息。 如果登录的帐户不在上述任一域中,则登录请求将移交给系统的主域。
受信任的域
受信任的域是本地系统信任对用户进行身份验证的域。 换句话说,如果用户或应用程序由受信任的域进行身份验证,则信任身份验证域的所有域都接受此身份验证。
每个从属域自动具有与主域的双向信任关系。 默认情况下,此信任是可传递的,这意味着如果系统信任域 A,则它还信任域 A 信任的所有域。 早于 Windows 2000 的作系统也支持单向信任,而 Windows 2000 不支持可传递的双向信任。
本地安全机构(LSA)具有一个对象类型,TrustedDomain,用于存储有关信任关系的信息,包括受信任域的名称和 安全标识符(SID)、域中用于身份验证请求、名称和 SID 转换请求的帐户, 和受信任域中域控制器的名称。
在域控制器上,LSA 为本地系统信任的每个域创建 TrustedDomain 对象的实例。
例如,如果 Windows XP 工作站信任一个反过来信任其他四个系统的 Windows 2000 域控制器,则使用可传递信任连接的工作站将在其本地系统上具有五个 TrustedDomain 对象。