多域配置基于多AD域间的双向信任，单向信任是不可以的，以基础架构所在AD域为A域，用户AD域为B域为例说明：

1. B域不信任A域则无法在B域域控上为ITA使用的管理账号授权，导致ITA业务发放无法进行；ITA在进行业务发放时要为用户发放B域的虚拟机，在发放过程中ITA会使用A域账号访问用户虚拟机的winrm服务，检查虚拟机是否按照命名规则重命名成功，把用户添加进指定的虚拟机本地权限组等操作，如果没有B域对A域的信任，这些操作都没有权限执行，业务发放功能不能正常使用。

2.在制作用户虚拟机模板(链接克隆，快速封装)时无法添加ITA使用的管理账号，导致ITA无法使用此模板发放用户虚拟机；

3． 如果没有B域对A域的信任，ITA无法在业务发放时检查发放用户的有效性，导致业务发放流程在页面无法通过检查。
综上，如果在多域场景下，必须配置A域与B域的双向信任才能满足要求

1 个解决方案

#1

---