本部分讲述一些限定从属在证书服务方面的常见部署，其中包括以下几种方案：

　　•使用限定从属将证书颁发限制为特定的命名空间

　　•配置两组织间的限定从属;特别是以下两种配置：

　　•允许两组织中所有 CA 间的信任

　　•将信任限制为 CA 层次结构中的特定 CA

　　•使用桥 CA 配置限定从属

　　本部分涉及两方面内容：方案的设计和部署。

　　限制命名空间

　　第一个示例是在大型组织中较为常见的方案，大型组织中的证书服务管理一般较为分散。在分散环境中，有时会希望将证书颁发只限制到 Active Directory 中的特定对象。实现这一操作的有效方式是使用名称约束，它可以确保特定 CA 仅将证书颁发给那些用命名空间划分且经过正确定义的用户子集。

　　假设 Contoso 使用图 4 中显示的林结构来向其区域分公司提供分散的管理。

　　图 4：Contoso.coms林和域结构

　　在 Contoso.com 中，已为证书服务的部署部署了几个 CA。图 5 显示了 Contoso.com 当前使用的 CA 层次结构。

　　图 5：为 Contoso 公司提议的 CA 层次结构