是否可以向非域使用者提供對域資源的訪問權限？

經過安全審查後，我將拆分目前位於公司域中的單台電腦上的 Windows 2008 Server 應用程序的層。我想將 IIS 7 Web UI 移動到域中的新機器上，以便使用者可以使用他們的 AD 帳戶對其進行身份驗證，並將其餘部分（應用程序層和數據庫伺服器）留在目前機器上，但在防火牆後面移出域.

應用層服務需要在域伺服器上的各種共享上創建文件。以前，這些服務作為具有共享訪問權限的特殊域使用者執行。現在這不可能了。

有沒有辦法允許非域使用者/機器訪問域伺服器上的共享文件夾（和一般資源）？

您可以向非域機器授予對域資源（即共享）的訪問權限……前提是該機器上的服務使用遠端憑據訪問共享：

• 域使用者憑據或
• 本地使用者（在域機器上）的憑據

第二種是最安全的方法（坐在應用層機器上的遠端攻擊者將無法訪問域帳戶（可以訪問整個域），而只能訪問它擁有本地帳戶的域機器。

但是您將無法簡單地設置這樣的使用者來執行應用程序服務。您的應用程序必須有一些支持，才能根據它連接到的伺服器指定不同的憑據。

因此，如果支持 => 說您的應用層機器 APPTIER 在 MSHOME 工作組中，並且您的共享是 \SERVER1\share1 和 \SERVER2\share2 在 MYDOMAIN 域中：

1. 在 SERVER1 上創建一個可以訪問 share1 的本地帳戶 apptieracct
2. 在 SERVER2 上創建一個可以訪問 share2 的本地帳戶 apptieracct
3. 在 APPTIER 上，將應用程序配置為使用 SERVER1\aptieracct 訪問 \SERVER1\share1 和 SERVER2\aptieracct 訪問 \SERVER2\share2

引用自：https://serverfault.com/questions/258808