子域和域樹是Windows Server 2008的重要概念，在地理位置分散且用戶數量較多的大型網絡中，子域是較好的選擇，域管理員可以授權子域的管理員獨立管理所在的域控制器以及關聯的服務，實現Active Directory的“分層管理、區域自治”的特點。域樹主要應用于同一個企業完全不同的業務架構或者企業之間兼并的環境，可以通過林根信任訪問不同域之間的資源。

2.1 基礎知識

在部署子域和域樹之前，管理員必須理解和明確有關域的相關概念以及應用范疇，這樣才能更好地理解Active Directory。

2.1.1 單域

單域是指網絡中只有一個域。在獨立域中如果只有一臺域控制器，不存在信任關系。用戶登錄到域中，即可訪問域中所有可用的網絡資源。

單域環境主要適用規模較小的網絡。單域中建議部署兩臺域控制器，一臺是域控制器，一臺是額外域控制器。如果沒有額外域控制器，域控制器崩潰后，域內的其他用戶將不能登錄該域。如圖2-1所示。

2.1.2 子域

子域是根據網絡規劃獨立管理用戶、計算機等網絡資源集合。子域中的管理員可以管理子域中所有的資源，并且在一次登錄子域后可以根據父子信任關系訪問父域中的資源。子域環境主要適用網絡較大并且地理位置不同的網絡。例如父域為Book.com，子域則表示為Beijing.book.com，所有以“.book.com”結尾的域均是book.com的子域，如圖2-2所示。

在同一個森林中，父子域之間的信任關系，稱之為父子信任。在默認情況下，當現有域中添加新子域后，默認創建父子信任關系。父子信任為雙向且可傳遞的信任關系，如圖2-3所示。Book.com是父域，Beijing.book.com是Book.com域的子域。在使用Active Directory安裝向導提升域控制器時，默認父域和子域之間建立雙向可傳遞的信任關系。即：Beijing.book.com子域信任book.com父域，Book.com父域信任Beijing.book.com子域。

2.1.3 域樹

域樹是同一個森林中多個子域組成的獨立域，域樹中父子關系形成層次結構，域樹中的第一個域稱為根域，多個子域將組成一顆域樹，如圖2-4 所示。Bookcom是父域，Beijing.book.com和Shenzhen.book.com是Book.com域的子域。

域樹主要適用網絡規模大且地理位置十分分散的網絡。如果不同地理位置的網絡部署在同一個域內，域中計算機之間信息交互（包括同步，復制等）所花費的時間會比較長，而且占用較大的帶寬。子域可以通過子域管理員管理網絡中的資源，可以達到“區域”自治的管理目的，降低父域的管理難度。

域樹基于父子信任關系創建，因此域樹之間是雙向且可傳遞的信任關系。用戶在域樹中的任何域中登錄后，即可訪問森林中的共享資源，而不需要在訪問其他域中的資源時，鍵入用戶名和密碼，如圖2-5所示。

2.1.4 域林

多個域樹可以組成一個域林。每棵域樹可以是一個獨立的域，也可以是其中幾棵樹組成的域，就好比是樹的分支，樹葉等，如圖2-6所示。

域林主要適用于網絡之間共存的環境。當企業出現兼并行為后，因為母公司使用一棵域樹，兼并的公司也有自己的域樹，則使用域林。通過建立域樹與域樹之間的信任關系管理使用整個域林中的資源，又保持被兼并公司自身原有的體系架構。

在同一森林下多棵域樹之間存在域間信任關系，在部署第2 棵域樹時，自動創建雙向的可傳遞的域樹之間信任關系。信任關系為雙向且可傳遞，如圖2-7所示。Daily.com是森林的第2棵域樹，使用Active Directory安裝向導創建后，默認創建2棵域樹間的雙向可傳遞的樹根信任關系，即該林下的子域信任第2棵域樹下的子域。

2.2 信任關系

信任是在域之間建立的關系，可以使一個域中的用戶登錄到其他域控制器進行身份驗證并訪問已經授權的網絡資源。信任關系在兩個域之間架起了一座橋梁，使得域用戶賬號可以跨域訪問。可以如此理解：信任關系使一個域控制器可以驗證其他域的用戶。例如A域與B域沒有信任關系，A域上的用戶只能在本域內使用，將不能訪問B域上的資源。

在域間訪問時，在運行對話框中輸入“\\服務器名稱”，如果沒有信任關系，需要輸入目標域的用戶名、密碼，只有有效檢測通過后，才能訪問目標域的資源。在沒有建立信任關系之前，每次訪問時都需要輸入用戶名和密碼。如果建立信任關系，則不需要輸入用戶名和密碼，可以直接訪問相關的資源。也就是說，訪問域的用戶必須具備目標域的合法身份才可訪問。信任關系是用于確保一個域的用戶可以訪問和使用另一個域中資源的安全機制。

2.2.1 信任類型

域和域之間的訪問通過信任完成。服務器使用“Active Directory安裝向導”提升為域控制器時，根據創建的域目標自動創建信任關系。使用“Active Directory域和信任關系”管理控制臺提供的“新建信任向導”或“Netdom”命令行工具可創建其他四種類型的信任關系。

1. 父子信任

父子信任存在于父域和子域之間，當使用“Active Directory安裝向導”在域樹中添加子域時，默認創建父子信任。父子信任之間的信任關系為雙向且可傳遞信任。

2. 樹根信任

樹根信任存在于域樹之間，當使用“Active Directory安裝向導”在域樹中添加新的域樹時，默認創建樹根信任。樹根信任之間的信任關系為雙向且可傳遞信任。

3. 快捷信任

快捷信任是當管理員需要優化身份驗證過程時，可以使用的單向或雙向可傳遞信任。身份驗證請求必須首先通過域樹之間的信任路徑，在復雜林中將消耗大量的時間，而快捷信任可以縮短該時間。信任路徑是為了傳遞任何兩個域之間的身份驗證請求而必須遍歷的一系列的域信任關系?？旖菪湃慰梢愿纳苾蓚€域之間的用戶登錄時間，提高訪問效率?？旖菪湃问强蓚鬟f的信任，可選擇單向或雙向的信任關系，如圖2-8所示。

4. 外部信任

外部信任存在兩個不同的森林或者兩個不同的域。部署外部信任林的功能級別至少為Windows Server 2003模式。外部信任關系需要使用“新建信任向導”創建，創建完成的外部信任關系，是單向或者雙向的不可傳遞的信任關系，即外部信任關系不可傳遞。如圖2-9所示。

5. 森林信任

森林信任關系存在于不同的森林之間。部署外部信任林的功能級別至少為Windows Server 2003模式。森林信任關系只能在根域所在的域控制器中部署。森林信任關系需要使用“新建信任向導”創建。森林信任關系是單向或雙向且可傳遞的信任關系。如果兩個森林之間建立的是雙向信任關系，兩個森林的域之間相互信任。部署森林信任后，在各個森林之間可以共享資源，如圖2-10所示.

森林信任只能在2個林之間創建，不能隱式擴展到第3個林。這意味著如果在林book.com和林test.com之間創建了一個林信任，在林test.com和林daily.com之間也創建了一個林信任，林book.com和林daily.com之間不存在任何信任關系，即林之間的信任關系不可傳遞，如圖2-11所示。

6. 領域信任

使用領域信任可建立非Windows Kerberos領域和Windows Server 2008域之間的信任關系，領域信任是單向或雙向、可傳遞或不傳遞的信任關系。

2.2.2 信任方向

信任方向是進行身份驗證所用的路徑。用戶可以訪問另一個域中的資源之前，運行Windows Server 2008的域控制器上必須確認雙方之間是否存在信任關系。

1. 單向信任

單向信任是兩個域之間創建的單向驗證路徑。表示在域Beijing.book.com和域Shenzhen.book.com之間創建的單向信任中，域Beijing.book.com中的用戶可以訪問域Shenzhen.book.com中的資源，而域Shenzhen.book.com中的用戶不能訪問域Beijing.book.com中的資源。根據所創建的信任類型，某些單向信任可以是非傳遞信任或可傳遞信任，如圖2-12所示。

2. 雙向信任

Windows Server 2008中使用“Active Directory安裝向導”部署的所有域之間的關系，都是雙向且可傳遞信任關系。創建新的子域時，雙向可傳遞信任在新的子域和父域之間自動建立。在雙向信任中，域Beijing.book.com信任域Shenzhen.book.com，且域Shenzhen.book.com信任域Beijing.book.com，Shenzhen.book.com和Beijing.book.com域內的用戶都可訪問對方域的資源。這意味著身份驗證請求可按兩種方向在兩個域之間傳遞。根據所創建的信任類型，某些雙向信任可以是非傳遞信任或可傳遞信任，如圖2-13所示。

2.2.3 信任傳遞性

信任傳遞性確定了信任是否可擴展到建立信任的兩個域之外。可傳遞信任用于將信任關系擴展到其他域，而非傳遞信任用于拒絕與其他域之間的信任關系。

1. 可傳遞信任

每次在林中創建新的域時，在新域及其父域之間會自動創建雙向的可傳遞信任關系。如果子域被添加到新的域中，則信任路徑將通過域向上流動，從而擴展到新域與其父域之間創建的初始信任路徑?？蓚鬟f信任關系將以域樹形成時的方向沿域樹向上流動，最終在域樹中的所有域之間創建可傳遞信任，如圖2-14所示。在默認情況下，Beijing.book.com和book.com之間的信任關系為雙向且可傳遞，Shenzhen.book.com和book.com之間的信任關系為雙向且可傳遞，因此Beijing.book.com和Shenzhen.book.com也是雙向可傳遞的信任關系。當對資源指派適當的權限后，域Beijing.book.com中的用戶可以訪問域Shenzhen.book.com中的資源，域Shenzhen.book.com中的用戶可以訪問域Beijing.book.com中的資源。

2. 非傳遞信任

非傳遞信任受信任關系中的兩個域的約束，并不流向林中的任何其他域。非傳遞信任可以是雙向信任或單向信任。非傳遞信任默認為單向信任關系，支持通過建立兩個單向信任來建立一個雙向關系，如圖2-15所示。Beijing.book.com和Shenzhen.book.com之間具備雙向可傳遞信任關系，Shenzhen.book.com和Test.com之間具備雙向可傳遞信任關系，Shenzhen.book.com和Test.com之間是外部信任，Beijing.book.com和test.com之間的信任是非傳遞信任關系。當對資源指派適當的權限后，域Beijing.book.com中的用戶不能訪問域Test.com中的資源，域Test.com中的用戶可以訪問域Beijing.book.com中的資源。

2.3 部署子域

子域是Active Directory中重要的管理模式，管理員可以根據地理位置、業務功能等劃分子域。子域的管理員將獨自管理子域中的資源。同一棵域樹下的子域部署模式相同。

2.3.1 部署子域

部署子域可以使用命令行模式或者角色添加向導模式完成。在部署前，需要將部署子域的服務器提升為成員服務器，再由成員服務器提升為子域控制器。

第1步，以域管理員身份登錄到需要部署子域的服務器，啟動“Active Directory安裝向導”，單擊“下一步”按鈕，直至顯示如圖2-16所示的“選擇某一部署配置”對話框。

第2步，選擇“現有林”選項，然后選擇“在現有林中新建域”選項，單擊“下一步”按鈕，顯示如圖2-17所示的“網絡憑據”對話框。如果當前登錄的用戶不是域管理員，建議選擇“備用憑據”選項，單擊“設置”按鈕，選擇具備管理員權限的用戶。本例中使用默認值即可。

第3步，單擊“下一步”按鈕，顯示如圖2-18所示的“命名新域”對話框。在“父域的FQDN”文本框中鍵入父域的完整FQDN名稱，在“子域的單標簽FQDN”文本框中鍵入子域的名稱，在“新子域的FQDN”文本框中自動顯示子域完整的FQDN名稱。

第4步，單擊“下一步”按鈕，顯示如圖2-19所示的“請選擇一個站點”對話框。在“站點”列表中選擇站點。

第5步，單擊“下一步”按鈕，顯示如圖2-20所示的“其他域控制器”對話框。選擇“DNS服務器”和“全局編錄”選項。

第6步，單擊“下一步”按鈕，按照向導提示完成子域的安裝。安裝完成后，重新啟動計算機，完成子域的安裝。同樣的方法可以完成book.com下其他子域的部署，部署完成的域樹如2-21所示。

2.3.2 查看父子域信任關系

父子域部署成功后，默認信任關系為雙向可傳遞。“Active Directory域和信任關系”控制臺，可以查看父子域的信任關系。

第1步，以父域管理員身份登錄父域控制器，打開“Active Directory域和信任關系”窗口，如圖2-22所示。

第2步，右擊“book.com”，在彈出的快捷菜單中選擇“屬性”命令，顯示如圖2-23 所示的“book.com屬性”對話框。在“常規”選項卡中顯示當前域的林功能級別和域功能級別，本例中功能級別均為Windows Server 2008。

第3步，切換到“信任”選項卡，顯示如圖2-24所示的“信任”對話框。在“外向信任”和“內向信任”文本框中，顯示父域和子域的信任類型以及傳遞關系。

第4步，在“受此域信任的域（外向信任）”或者“信任此域的域（內向信任）”列表框中，選擇任何一條信任關系，單擊“屬性”按鈕，顯示如圖2-25所示的對話框。顯示父子之間的信任類型、信任方向和信任傳遞關系。父子域之間是可信任的雙向傳遞關系。

第5步，在“Active Directory域和信任關系”窗口中，選擇“Beijing.book.com”選項，右擊該選項，在彈出的快捷菜單中選擇“屬性”命令，顯示如圖2-26所示的對話框。

第6步，切換到“信任”選項卡，顯示如圖2-27示的“信任”對話框。在該對話框中，可以查看Beijing.book.com和book.com之間的父子關系。

2.4 部署多域樹

多域樹包含同一個根域下的多個域，適用于大型網絡且業務彼此獨立的企業。多域樹的管理比較復雜，需要更多的域管理員以及管理更多的域控制器，需要處理林根信任、樹根信任、父子信任等復雜的信任關系。

2.4.1 部署多域樹

本例將在book.com的根域下，添加一棵新的名稱為daily.com的域樹。

第1步，以域管理員身份登錄到需要部署第二個域樹的服務器，啟動“Active Directory安裝向導”，顯示如2-28所示的“歡迎使用Active Directory域服務安裝向導”對話框。

第2步，選擇“使用高級模式安裝”選項，單擊“下一步”按鈕，直至顯示如圖2-29所示的“選擇某一部署配置”對話框。選擇“現有林”選項，然后選擇“在現有林中新建域”選項，同時選擇“新建域樹根而不是新子域”選項。在當前林中，創建一個新的域樹。

第3步，單擊“下一步”按鈕，顯示如圖2-30所示的“網絡憑據”對話框。如果當前登錄的用戶不是域管理員，建議選擇“備用憑據”選項，單擊“設置”按鈕，選擇具備管理員權限的用戶。本例中使用默認值即可。

第4步，單擊“下一步”按鈕，顯示如圖2-31所示的“命名新域樹根”對話框。在“新域樹的FQDN”文本框中，鍵入新域樹的FQDN名稱。

第5步，單擊“下一步”按鈕，顯示如圖2-32 所示的“域NetBIOS名稱”對話框。在“域NetBIOS名稱”文本框中，鍵入新域的NetBIOS名稱。默認情況下，該名稱由向導自動識別填入，使用默認值即可。

第6步，單擊“下一步”按鈕，顯示如圖2-33所示的“請選擇一個站點”對話框，選擇目標站點。

第7步，單擊“下一步”按鈕，顯示如圖2-34所示的“其他域控制器選項”對話框。選擇“DNS服務器”和“全局編錄”選項。

第8步，單擊“下一步”按鈕，顯示如圖2-35所示的“源域控制器”對話框。為安裝的新域指定復制伙伴，選擇“使用此特定的域控制器”選項，在可用的域控制器列表中，選擇目標域控制器。

第9步，單擊“下一步”按鈕，根據向導提示完成Active Directory部署。向導執行完成后，重新啟動計算機，完成新域樹的安裝。

2.4.2 查看域樹之間信任關系

部署在同一根域下的多域樹之間默認信任關系為雙向且可傳遞，使用“Active Directory域和信任關系”可以查看域樹之間的信任關系。

第1步，以父域管理員身份登錄父域控制器，打開“Active Directory域和信任關系”窗口，如圖2-36所示。

第2步，右擊“book.com”，在彈出的快捷菜單中選擇“屬性”命令，顯示“book.com屬性”對話框。切換到“信任”選項卡，顯示如圖2-37所示的“信任”對話框。在“外向信任”和“內向信任”文本框中，顯示信任類型以及傳遞關系。“Daily.com”的信任類型為“樹根”。

第3步，在“受此信任的域（外向信任）”或者“信任此域的域（內向信任）”列表框中，選擇任何一條“Daily.com”信任關系，單擊“屬性”按鈕，顯示如圖2-38所示的對話框。顯示同一個森林下的樹根之間的信任類型、信任方向和信任傳遞關系。同一個森林下的樹根之間是可信任的雙向傳遞關系。

2.5 部署信任關系

在Windows網絡中，除了使用“Active Directory安裝向導”提升域控制器的過程中，默認創建的信任關系之外，還可以使用“新建信任向導”創建新類型的信任關系，包括快捷信任、外部信任和森林信任。部署快捷信任的目的是提高網絡訪問的速度，降低網絡流量。外部信任和森林信任主要用于兩個不同的林之間的資源訪問，默認情況下兩個不同林之間的資源不能夠訪問，只有部署信任關系之后，才可以彼此訪問。

2.5.1 部署快捷信任

同一個域林下有2 個子域，2 個子域之間通過默認信任建立雙向信任關系。在Shenzhen.book.com域中存儲公用資源，網絡中訪問量大，為了加快訪問的速度和降低用戶登錄訪問的時間，在Beijing.book.com和Shenzhen.book.com之間建立快捷信任，如圖2-8所示。

第1步，以父域管理員身份登錄父域控制器，選擇“開始”→“管理工具”→“Active Directory域和信任關系”選項，顯示如圖2-39所示的“Active Directory域和信任關系”窗口。

第2步，右擊“book.com”，在彈出的快捷菜單中選擇“屬性”命令，顯示“book.com屬性”對話框的“常規”選項卡。切換到“信任”選項卡，顯示如圖2-40所示的“信任”對話框。在“外向信任”和“內向信任”文本框中，顯示父域和子域的信任類型以及傳遞關系。

第3步，單擊“新建信任”按鈕，啟動“新建信任向導”，顯示如圖2-41所示的“歡迎使用新建信任向導”對話框。

第4步，單擊“下一步”按鈕，顯示如圖2-42所示的“信任名稱”對話框。在“名稱”文本框中，鍵入信任域的DNS名稱（FQDN）。本例中創建Shenzhen.book.com域信任Beijing.book.com，鍵入Shenzhen.book.com域的DNS名稱。

第5步，單擊“下一步”按鈕，顯示如圖2-43所示的“信任方向”對話框。在此對話框中選擇“單向：內傳”選項。

信任方向解釋

● 雙向：信任域和被信任域中的用戶都可以在各自的域中信任對方域的用戶。

● 單向-內傳：發起創建信任的域可以在目標域得到身份認證。

● 單向-外傳：發起創建信任的域可以認證目標域中的用戶。

第6步，單擊“下一步”按鈕，顯示如圖2-44所示的“信任方”對話框。選擇“此域和指定的域”選項。

信任方解釋

● 只是這個域：僅在發起域創建信任關系。

● 此域和指定的域：建議選擇此項。因為在本地域創建一個單向傳入信任，在目標域必須創建一個單向傳出信任關系，才能夠驗證成功。

第7步，單擊“下一步”按鈕，顯示如圖2-45所示的“用戶名和密碼”對話框。鍵入目標域中具備管理員賬號的用戶和密碼。

第8步，單擊“下一步”按鈕，顯示如圖2-46所示的“選擇信任完畢”對話框。顯示創建信任關參數，管理員可以根據實際調整相應的參數。

第9步，單擊“下一步”按鈕，顯示如圖2-47所示的“信任創建完畢”對話框?！案膭訝顟B”中描述信任關系的參數，包括信任類型、信任方向、目標域、信任方等信息。信任類型為快捷方式，即快捷信任。

第10步，單擊“下一步”按鈕，顯示如2-48所示的“確認傳入信任”對話框。選擇“是，確認傳入信任”選項。

第11步，單擊“下一步”按鈕，顯示如圖2-49所示的“正在完成新建信任向導”對話框。

第12步，單擊“完成”按鈕，成功創建快捷信任，如圖2-50所示。

2.5.2 外部信任

book.com域兼并了shm.com域，book.com域中的用戶需要訪問shm.com域中的資源，因此為book.com域部署指向shm.com域的外部信任關系，book.com域中用戶即可訪問shm.com域中的資源。

book.com域和shm.com域均使用Windows Server 2008操作系統，當前林功能級別為Windows Server 2008。book.com域和shm.com域物理鏈路通訊正常，DNS彼此可以互相解析成功。

1. 無信任資源訪問

Book.com域和shm.com是兩個獨立的域，在沒有建立信任之前，book.com無法訪問shm.com域中資源，如圖2-51所示。

同樣，shm.com域無法訪問book.com中的資源，如圖2-52所示。

2. 部署外部信任

第1步，以父域管理員身份登錄父域控制器，啟動“Active Directory域和信任關系”控制臺。右擊“book.com”，在彈出的快捷菜單中選擇“屬性”命令，顯示“book.com屬性”對話框的“常規”選項卡。切換到“信任”選項卡，顯示如圖2-53所示的“信任”對話框。

第2步，單擊“新建信任”按鈕，啟動“新建信任向導”，跳過“歡迎使用新建信任向導”對話框，顯示如圖2-54 所示的“信任名稱”對話框。在“名稱”對話框中鍵入目標域。

第3步，單擊“下一步”按鈕，顯示如圖2-55所示的“信任類型”對話框。選擇“外部信任”選項。

第4步，單擊“下一步”按鈕，顯示如圖2-56示的“信任方向”對話框。選擇“雙向”選項。

第5步，單擊“下一步”按鈕，顯示如圖2-57所示的“信任方”對話框。選擇“此域和指定的域”選項。

第6步，單擊“下一步”按鈕，顯示如圖2-58所示的“用戶名和密碼”對話框。鍵入shm.com域的管理員用戶名和密碼。

第7步，單擊“下一步”按鈕，顯示如圖2-59示的“傳出信任身份驗證級別——本地域”對話框。選擇“全域性身份驗證”選項，允許域中的用戶訪問目標域資源。

第8步，單擊“下一步”按鈕，顯示如圖2-60所示的“傳出信任身份驗證級別——指定域”對話框。選擇“全域性身份驗證”選項，允許域中的用戶訪問目標域資源。

第9步，單擊“下一步”按鈕，顯示如圖2-61示的“選擇信任完畢”對話框。顯示部署的外部信任參數，信任類型是外部。

第10步，單擊“下一步”按鈕，顯示如7-62所示的“信任創建完畢”對話框。信任關系創建成功，顯示信任類型、信任方向、目標域、信任方等信息

第11步，單擊“下一步”按鈕，顯示如圖2-63示的“確認傳出信任”對話框。

第12步，單擊“下一步”按鈕，顯示如圖2-64所示的“確認傳入信任”對話框。

第13步，單擊“下一步”按鈕，顯示如7-65所示的“正在完成新建信任向導”對話框。

第14步，單擊“完成”按鈕，顯示如圖2-66所示的“Active Directory域服務”對話框。

第15步，單擊“確定”按鈕，成功創建外部信任關系，如圖2-67所示。

3. 信任資源訪問

外部信任部署成功后，book.com域和shm.com域之間即可彼此訪問域中資源。

Book.com訪問shm.com域中資源，如圖2-68所示。

Shm.com訪問book.com域中的資源，如圖2-69所示。

2.5.3 森林信任

部署森林信任的環境和條件和外部信任相同，部署信任的過程也相同，在部署的過程中有以下不同點。

1. 選擇“信任類型”時，選擇“林信任”選項，即創建森林信任，如圖2-70所示。

2. 在“傳出信任身份驗證級別——本地林”對話框中，選擇“全林性身份驗證”選項，允許林中的用戶訪問目標林，如圖2-71所示。

3. 在“傳出信任身份驗證級別——指定林”對話框中，選擇“全林身份驗證”選項，允許林中的用戶訪問目標林，如圖2-72所示。

其他部分按照向導提示完成即可，部署完成的森林如圖2-73所示。

2.5.4 刪除信任

網絡中建立的信任關系已經不能滿足管理需要，管理員可以刪除信任關系。

第1步，以父域管理員身份登錄父域控制器，啟動“Active Directory域和信任關系”控制臺。右擊“book.com”，在彈出的快捷菜單中選擇“屬性”命令，顯示“book.com屬性”對話框，切換到“信任”選項卡。

第2步，在“受此域信任的域（外向信任）”或者“信任此域的域（內向信任）”列表框中，選擇需要刪除的信任關系，單擊“刪除”按鈕，顯示如圖2-74所示的“Active Directory域服務”對話框。

第3步，選擇“是，從本地域和另一個域中刪除信任”選項，單擊“確定”按鈕，顯示如圖2-75所示的“Active Directory域服務”對話框。

第4步，單擊“是”按鈕，成功刪除選擇的信任關系，如圖2-76所示。