近日给一个Forest级别Trust的Domain设置了Selective Trust，然后跨域访问开始爆炸。AD Administrative Center（dsac.exe）打开就报错（ System.Security.Authentication.AuthenticationException ）退出；几个MMC Snap-in则不是报告莫名其妙的local error就是提示 Logon Failure: The machine you are logging onto is protected by an authentication firewall. The specified account is not allowed to authenticate to the machine. 。用Delegation of Control Wizard给外部用户分配所有权限也没有用。

为了获取到域用户列表，程序需要以外部用户身份连接到本域的域控制器，因此首先该外部用户需要具有登录本域域控的权限。在Active Directory Users and Computers MMC Snap-in里，首先在View菜单里勾选Advanced Features，然后在Domain Controllers的Properties对话框中选择Security选项卡，点击Advanced，添加一个Permission：

• Principal选择外部用户或对应的组
• Type选择Allow
• Applies to选择Descendant Computer objects
• Permissions除默认外，勾选Allowed to Authenticate一项

然后点击OK。这时候你应该能以外部用户身份访问本域的Users and Computers列表了。