我們的環境中有 2 個域 ( A、 )。B
每當有人加入公司時,他的帳戶就會在 網域 中建立A。如果某人必須在特定部門工作,則會在 網域 中為他建立帳戶B。兩個帳戶具有相同的使用者名,且網域B與 Domain 具有信任關係A。
使用網域的部門B擁有許多應用程式/軟體/伺服器(300 多台 Windows 和 Linux 電腦)和大約 150 個活躍用戶。現在該公司希望我們讓用戶A在所有網域B伺服器中使用他們的網域帳戶。
有辦法實現這一點嗎?
答案1
這就是網域信任為了- 它允許您將網域 A 中的使用者新增至網域 B 中的安全性群組。
只需將相關使用者新增至他們需要所屬的部門群組即可。
答案2
您可以使用信任關係(林信任或網域信任)來允許網域 A 帳戶存取網域 B 中的資源。透過林信任,您可以允許所有帳戶從 A 到 B 進行身份驗證,也可以啟用選擇性身份驗證,這將要求網域 B 中的每個資源伺服器專門允許網域 A 中的帳戶能夠進行身份驗證。
如果您的組織正在討論實際遷移到網域 B 作為主要帳戶位置,您會發現 Active Directory 移轉工具 (ADMT) 非常有用,因為它實際上可以將使用者帳戶從一個網域(或林)移轉到另一個網域。最重要的是,如果兩個林中同一用戶都存在帳戶,它可以合併帳戶,甚至可以保留這些用戶的SID 歷史記錄,這使得管理共享資源(共享權限、NTFS 權限等)上的ACL 變得更加容易繼續管理。
正如上面的評論之一所述,聽起來您可能想從本地資源獲取一些額外的輸入。這不是一個極其複雜的設置,但肯定比典型的 AD 環境更先進。