Security
如何使一個林中的安全組出現在另一個林中?
我有兩個 Win2k8 森林,我在上面進行維護。這兩個森林相互之間具有完全的雙向外部、非傳遞信任。
我在森林 X 中有一個文件夾,域 countryX.mycompany.com 只能由名為 $group 的全域安全組訪問。
在森林 Y 中,域 countryY.mycompany.com、countryY\user1、countryY\user2 等需要訪問該文件夾。
本能的本能是將 user1、user2 等放入 $group。但是,將使用者添加到組的任何方法都不起作用,因為 AD 似乎無法在其他林中找到組。
問題: 1.如何讓林間看到對方的安全組並可以添加?2.在實踐中,實現使用者訪問另一個林中的文件夾/文件的推薦方法是什麼?
正如您所發現的,不同的組類型在多域和多林環境中具有不同的“可見性”(Microsoft 可以提供更多詳細資訊)。例如,全域組僅在它們所在的域中“可見”,並且只能包含來自該域的使用者(因為成員使用者的安全標識符是如何儲存的)。
Microsoft 的最佳實踐指南如下:
- 在每個域中創建一個全域組,以包含該域中對應於工作角色的成員
- 在要控制的資源的域中創建域本地組,並授予域本地組對該資源的權限
- 將每個域的全域組嵌套到域本地組中
在某些情況下,通用組也可以發揮作用(當要管理的資源通常分佈在多個域中時)。
在這個 Microsoft TechNet 論壇主題中有一些不錯的(儘管縱橫比很有趣)圖片,可以為您提供一些背景知識。我還建議從更多背景中查看Wikipedia 文章。