ドメインは「dom1」と「dom2」の2つあります。
- 「dom1」は信頼するドメインです。
- 「dom2」は信頼されたドメインです。
つまり、一方通行ドメイン「dom1」がドメイン「dom2」を信頼します。
ドメイン「dom2」に参加し、「dom2」ドメインのアカウントでログインしているサーバーは、「dom1」ドメインに参加しているサーバー上のファイル共有にアクセスできます。ここでは問題はありません。
ただし、「dom1」ドメインに参加しているサーバー(サーバー名:)でmyserver.dom1.com、「dom1」ドメインのアカウントでログインしている( を使用してサーバーにログインしている)場合、「別のユーザーとして実行」を使用して「dom2」ドメインのユーザー アカウント(例: などのアカウントを使用)dom1\myuserondom1を使用してアプリケーションを実行することはできません。dom2\myuserondom2
これを実行しようとすると、以下のエラーが表示されます。
現在、ログオン要求を処理できるログオン サーバーがありません。
ではmyserver.dom1.com、これを行うと、nslookup dom2.comネーム サーバーが正しく返されます。
では、ローカル グループにmyserver.dom1.com追加することはできません。dom2\myuserondom2
答え1
私が間違って考えていなければ、この特定のシナリオはそもそも機能しないと思います。DOM1 は DOM2 を信頼しますが、DOM2 は DOM1 を信頼しません。DOM1 コンピューターから DOM2 ユーザーとして runas を使用しようとしています。つまり、DOM2 ユーザーを認証するには、認証要求が DOM1 から DOM2 に流れる必要があり、DOM2 が DOM1 を信頼していないため、認証は失敗します。違いますか?
DOM2 ユーザーは、DOM1 ドメイン コントローラーによって認証できません。DOM2 ユーザーは、DOM2 ドメイン コントローラーによって認証される必要があります。認証フローから、これは機能しないことがわかります。