Jak*_*ake 2 security active-directory access-control-list
我有两个 Win2k8 森林,我对其进行维护。这两个森林彼此之间具有完全的 2 路外部非传递信任。
我在森林 X 中有一个文件夹,域 countryX.mycompany.com 只能由名为 $group 的全局安全组访问。
在森林 Y 中,域 countryY.mycompany.com、countryY\user1、countryY\user2 等需要访问该文件夹。
自然的本能是将 user1、user2 等放入 $group。但是,将用户添加到组的任何方法都不起作用,因为 AD 似乎无法在其他林中找到组。
问题: 1.如何让森林看到对方的安全组并能够添加?2.在实践中,实现用户访问另一个林中的文件夹/文件的推荐方法是什么?
正如您所发现的(Microsoft 可以提供更多详细信息),不同的组类型在多域和多林环境中具有不同的“可见性” 。例如,全局组仅在它们所在的域中“可见”,并且只能包含来自该域的用户(因为成员用户的安全标识符是如何存储的)。
Microsoft 的最佳实践指南如下:
在每个域中创建一个全局组,以包含该域中与工作角色相对应的成员
在要控制的资源所在的域中创建域本地组,并授予域本地组对该资源的权限
将每个域的全局组嵌套到域本地组中
在某些情况下,通用组也可以发挥作用(通常,当要管理的资源分布在多个域中时)。
此 Microsoft TechNet 论坛主题中有一些不错的(尽管具有有趣的纵横比)图片,可以为您提供一些背景知识。我还建议您查看维基百科文章,了解更多背景信息。