私たちの環境には2 つのドメイン ( A
、 ) があります。B
誰かが会社に入社すると、その人のアカウントがドメイン に作成されますA
。誰かが特定の部署で働かなければならない場合、その人のアカウントがドメイン に作成されますB
。両方のアカウントは同じユーザー名を持ち、ドメインはB
ドメインと信頼関係にありますA
。
ドメインを使用している部門には、多数のアプリケーション/ソフトウェア/サーバー (300 台以上の Windows および Linux マシン) と約 150 人のアクティブ ユーザーがあります。現在、会社では、すべてのドメイン サーバーでB
ユーザーがドメイン アカウントを使用するようにしたいと考えています。A
B
これを実現する方法はありますか?
答え1
それがドメイン信頼ですのために- ドメイン A のユーザーをドメイン B のセキュリティ グループに追加できます。
関連するユーザーを、所属する必要のある部門グループに追加するだけです。
答え2
信頼関係 (フォレストまたはドメインの信頼) を使用して、ドメイン A のアカウントがドメイン B のリソースにアクセスできるようにすることができます。フォレストの信頼を使用すると、すべてのアカウントが A から B に認証できるようにしたり、選択的認証を有効にして、ドメイン B の各リソース サーバーがドメイン A のアカウントの認証を明示的に許可するように要求したりすることができます。
組織が実際にプライマリ アカウントの場所としてドメイン B に移行することを検討している場合、Active Directory 移行ツール (ADMT) が便利です。ADMT は、ユーザー アカウントを 1 つのドメイン (またはフォレスト) から別のドメイン (またはフォレスト) に移行できるためです。さらに、両方のフォレストに同じユーザーのアカウントが存在する場合は、それらのアカウントをマージできます。また、これらのユーザーの SID 履歴も保存できるため、共有リソース (共有アクセス許可、NTFS アクセス許可など) の ACL の管理がはるかに簡単になり、管理を継続できます。
上記のコメントの 1 つに述べられているように、ローカル リソースから追加の入力を取得する必要があるようです。これは非常に複雑な設定ではありませんが、典型的な AD 環境よりも高度であることは確かです。