.png)
私は Windows 管理 (Server 2008r2) に関してはかなり初心者ですが、新しい環境を構築し、Active Directory ドメインを設定しています。
私はシステムを管理 (mgt) と運用 (ops) の 2 つの部分に分割しました。どちらも同じシステムの一部ですが、可用性のニーズは少し異なります。
私は自分のシステムを「vmnet」と呼ぶことにしました。vmnet.ops と vmnet.mgt という 2 つのドメインを作成しました。
これらは、.com や .org の Web サイトのように、完全に別のドメインになるものだと思っていました。
残念ながら、vmnet.mgt でファイル共有を構成していたときに、vmnet.ops 上の同じ名前のユーザーは共有にアクセスするために資格情報を入力する必要がないことに気付きました。
つまり、1) mgtドメインサーバー上のフォルダを共有[メールアドレス]Windows共有経由。2) オペレーションドメインワークステーションにログイン([メールアドレス])にアクセスし、共有フォルダにアクセスしようとします。3) 認証情報を入力せずにアクセスできます。4) vmnet.opsボックスから共有フォルダのアクセス許可を確認すると、共有されていることがわかります。[メールアドレス] 5) vmnet.mgtマシンの実際の共有フォルダを見ると、共有されているのは[メールアドレス]。
ここでは重複があるようです。異なるドメインには完全に異なる UID が必要ですか? まったく重複していませんか? それとも私が間違えて、vmnet.ops と vmnet.mgt は同じドメインで、.mgt/.ops は無関係なのでしょうか?
答え1
各ドメインに同じパスワードを持つ jake ユーザーが存在する場合、パスワードが同じであるため、一方のドメインの jake はもう一方のドメインの共有にアクセスできます。これは次のように機能します。
jake@domain1 が domain1 内のリソースにアクセスする場合、jake はドメインにログインしたときにセキュリティ トークンを取得し、そのセキュリティ トークンを使用してアクセスするため、リソースをホストしているシステムにパスワードは送信されません。
jake@domain1 が domain1 上にないリソース (つまり、domain2 内、またはドメイン外のシステム内) にアクセスする場合、jake のユーザー名とパスワードが他のシステムに渡され、資格情報がそのドメインまたはコンピューター上の jake ユーザーの資格情報と一致する場合、jake はそれらのリソースにアクセスできます。