Eu tenho uma confiança entre florestas entre dois domínios/florestas do Windows Server 2008 R2 (níveis funcionais de domínio e floresta no Windows Server 2008 R2). Os domínios A e B são os domínios raiz da floresta em suas respectivas florestas e o domínio C é o domínio filho do domínio B.
A<->B--C
A relação de confiança é uma confiança de floresta transitiva bidirecional configurada com autenticação em toda a floresta. Quando olho para os objetos TDO em cada domínio, vejo que o domínio B tem um TDO para o domínio A e o domínio C, mas o domínio C só tem um TDO para o domínio B. domínioA também tem um TDO apenas para domínioB. Vejo a mesma coisa refletida nos domínios e relações de confiança do Active Directory em cada domínio.
Ao selecionar o menu suspenso "Fazer logon em" em um computador do domínio C, vejo apenas o domínio B e o domínio C listados. Ao selecionar o menu suspenso "Fazer logon em" em um computador do domínio B, vejo o domínio B, o domínio C e o domínio A listados. Ao selecionar o menu suspenso "Fazer logon em" em um computador de domínioA, vejo apenas o domínioA e o domínioB listados.
A resolução de nomes DNS entre florestas funciona entre todos os três domínios por meio de encaminhadores condicionais entre o domínio A e o domínio B, e posso consultar com êxito os registros AD SRV no domínio A do domínio C e vice-versa.
Não estou entendendo a transitividade do domínio em uma relação de confiança entre florestas? A transitividade não deveria se estender do domínio C para o domínio A e vice-versa?
Editar
Com base na resposta de Ryan:
Comecei a pensar a mesma coisa, mas não tenho experiência em primeira mão com um Forest Trust onde existe um domínio filho, então não sei ao certo o que devo ver. Mesmo que a transividade deva existir entre os domínios A e C, isso não implica necessariamente em "visibilidade". Eu corri nltest /dclistenltest /dsgetdcnltest /dnsgetdce todos retornam com sucesso dos domínios A para C e vice-versa. O que me deixa intrigado é que, ao tentar adicionar um usuário a um grupo Domain Local no domínio AI, só consigo ver o domínio B em Locais e não o domínio C. Esse pode ser o comportamento esperado, mas parece estranho. por exemplo, se eu quiser adicionar um usuário do domínio C ao grupo Remote Desktop Users Domain Local no domínio AI, não posso chegar lá porque não vejo o domínio C em locais no domínio A. Não há como "aninhar" um usuário do domínio C em um grupo do domínio B e, em seguida, adicione o grupo do domínio B ao grupo do domínio A (devido ao escopo do grupo). Portanto, se eu quiser conceder acesso aos usuários do domínio C para fazer logon nos servidores RDS no domínio A, como conseguirei isso?