우리 환경에는 2개의 도메인( A, ) 이 있습니다 .B
누군가가 회사에 합류할 때마다 해당 계정이 도메인에 생성됩니다 A. 누군가가 특정 부서에서 일해야 하는 경우 해당 사람을 위한 계정이 도메인에 생성됩니다 B. 두 계정 모두 동일한 사용자 이름을 가지며 domain 은 BDomain 과 신뢰 관계를 갖습니다 A.
도메인을 사용하는 부서에는 B많은 애플리케이션/소프트웨어/서버(300개 이상의 Windows 및 Linux 시스템)와 약 150명의 활성 사용자가 있습니다. 이제 회사는 사용자가 A모든 도메인 B서버에서 자신의 도메인 계정을 사용하도록 하기를 원합니다.
이것을 달성하는 방법이 있습니까?
답변1
이것이 바로 도메인 신뢰입니다.~을 위한- 도메인 A의 사용자를 도메인 B의 보안 그룹에 추가할 수 있습니다.
해당 사용자가 속해야 하는 부서 그룹에 해당 사용자를 추가하기만 하면 됩니다.
답변2
신뢰 관계(포리스트 또는 도메인 신뢰)를 사용하여 도메인 A 계정이 도메인 B의 리소스에 액세스하도록 허용할 수 있습니다. 포리스트 트러스트를 사용하면 모든 계정이 A에서 B로 인증되도록 허용하거나 선택적 인증을 활성화할 수 있습니다. 이 경우 도메인 B의 각 리소스 서버에서 도메인 A의 계정이 인증할 수 있도록 구체적으로 허용해야 합니다.
조직에서 실제로 기본 계정 위치를 도메인 B로 이동하는 것에 대해 이야기하고 있다면 ADMT(Active Directory 마이그레이션 도구)가 실제로 한 도메인(또는 포리스트)에서 다른 도메인으로 사용자 계정을 마이그레이션할 수 있기 때문에 유용할 것입니다. 또한 두 포리스트에 동일한 사용자에 대한 계정이 있는 경우 계정을 병합할 수 있으며 이러한 사용자의 SID 기록도 보존할 수 있으므로 공유 리소스(공유 권한, NTFS 권한 등)에 대한 ACL 관리가 훨씬 쉬워집니다. 계속 관리하세요.
위의 설명 중 하나에서 언급했듯이 로컬 리소스로부터 추가 입력을 얻고 싶을 수도 있습니다. 이는 매우 복잡한 설정은 아니지만 확실히 일반적인 AD 환경보다 더 발전된 것입니다.