我對 Windows 管理(Server 2008r2)相當陌生,但我正在建立一個新環境,並正在設定活動目錄網域。
我將我的系統分為兩部分:管理(mgt)和營運(ops)。它們都是同一系統的一部分,但它們的可用性需求有點不同。
我決定將我的系統命名為「vmnet」。我建立了 2 個網域:vmnet.ops 和 vmnet.mgt。
我認為這些將是完全獨立的網域,就像 .com 和 .org 網站一樣。
不幸的是,當我在 vmnet.mgt 上設定檔共用時,我意識到在 vmnet.ops 上具有相同名稱的使用者無需輸入憑證即可存取該共用。
所以:1)管理網域伺服器上的資料夾共享到[電子郵件受保護]透過 Windows 共享。 2) 登入 ops 網域工作站 ([電子郵件受保護]),然後嘗試存取共用資料夾。 3)它讓我無需輸入憑證即可進入。 4)從vmnet.ops框中查看共享資料夾權限,它說它是共享的[電子郵件受保護] 5) 從 vmnet.mgt 機器查看實際共用資料夾,它聲稱僅與[電子郵件受保護]。
這裡似乎有重疊。不同的域,應該有完全不同的UID嗎?完全沒有重疊嗎?還是我搞砸了,vmnet.ops 和 vmnet.mgt 是同一個網域,而 .mgt/.ops 不相關?
答案1
如果每個網域上都有一個具有相同密碼的 jake 用戶,則一個網域中的 jake 將能夠存取另一個網域上的共用,因為密碼相同。它的工作原理如下:
如果 jake@domain1 正在存取 domain1 中的資源,則不會將密碼傳送到託管該資源的系統,因為 jake 在登入網域時獲得了安全性令牌,並且使用該安全性令牌來取得存取權限。
如果 jake@domain1 正在存取不在domain1上的資源(即在domain2中,或不在網域中的系統),它會將 jakes 使用者名稱和密碼傳遞到其他系統,並且如果憑證與 jake 匹配該網域或電腦上的用戶,然後jake 將可以存取這些資源。