我在两个 Windows Server 2008 R2 域/林(Windows Server 2008 R2 的域和林功能级别)之间建立了跨林信任。域 A 和 B 是各自林中的林根域,域 C 是域 B 的子域。
A<->B--C
该信任是配置了林范围身份验证的双向可传递林信任。当我查看每个域中的 TDO 对象时,我看到域 B 具有域 A 和域 C 的 TDO,但域 C 仅具有域 B 的 TDO。domainA 同样有一个仅用于 domainB 的 TDO。我在每个域中的 Active Directory 域和信任中看到了同样的事情。
在 domainC 计算机上选择“登录到”下拉列表时,我只看到列出了 domainB 和 domainC。在 domainB 计算机上选择“登录到”下拉列表时,我看到列出了 domainB、domainC 和 domainA。在 domainA 计算机上选择“登录到”下拉列表时,我只看到列出了 domainA 和 domainB。
跨林 DNS 名称解析通过域 A 和域 B 之间的条件转发器在所有三个域之间工作,我可以从域 C 成功查询域 A 中的 AD SRV 记录,反之亦然。
我不了解跨林信任中的域传递性吗?传递性不应该从域C扩展到域A,反之亦然吗?
编辑
基于瑞安的回答:
我已经开始思考同样的事情,但我对存在子域的森林信托没有第一手经验,所以我不确定我应该看到什么。即使域 A 和域 C 之间应该存在传递性,但这并不一定意味着“可见性”。我跑了nltest /dclist,nltest /dsgetdc然后nltest /dnsgetdc并且都成功地从域 A 返回到域 C,反之亦然。让我感到困惑的是,当尝试将用户添加到域 AI 中的域本地组时,只能在位置中看到域 B 而看不到域 C。这可能是预期的行为,但似乎很奇怪。例如,如果我想将域 C 用户添加到域 AI 中的远程桌面用户域本地组无法到达那里,因为我在域 A 中的位置看不到域 C。没有办法“嵌套”一个域 B 组中的域 C 用户,然后将域 B 组添加到域 A 组(因为组范围)。因此,如果我想授予域 C 用户访问权限以登录域 A 中的 RDS 服务器,我将如何实现?
我相信您在域 C 成员的“登录到”下拉框中看到的内容是正常行为。该下拉框只会显示相邻的域(传递性不算数),但这不会阻止您使用用户名 DomainA\\joeqwerty 或 joeqwerty@ 登录到 DomainC 成员域A. 如果当您在 DomainC 中的计算机上时能够在下拉框中看到 DomainA 对您来说非常重要,那么您可以通过快捷方式信任来实现这一点。
\n\n这份文件有一些非常好的智慧:
\n\nhttp://technet.microsoft.com/en-us/library/cc773178(v=WS.10).aspx
\n\n例如,
\n\n\n\n\n信任搜索限制
\n\n当客户端搜索信任路径时,搜索仅限于直接与域建立的信任以及在林内可传递的信任。例如,子域不能在其父域和另一个林中的域之间使用外部信任。这是因为在客户端可以开始沿着通往请求的资源域的路径工作之前,必须构建完整的信任路径。Windows Server 2003 不支持盲目引用;如果客户端无法识别信任路径,则\n 不会尝试在另一个域中寻求对所请求资源的访问。\n 子域无法识别其林外部安全机构的外部信任或领域信任,因为\n \n 表示这些信任仅在共享信任的域内发布,而不是发布到全局编录。因此,客户端不知道其域与父域或子域以外的安全机构共享的信任,因此无法使用它们来访问资源。
\n
编辑
\n\n根据您的编辑:
\n\n\n\n\n例如,如果我想将域 C 用户添加到域 AI 中的远程桌面用户域本地组,则无法到达该位置,因为我在域 A 中的位置看不到域 C。
\n
这可能有点迂腐,但我个人根本不会将用户添加到远程桌面用户域本地组。我只会在其中嵌套安全组,而不是单个用户/帐户。下面链接的 TechNet 文章还建议使用和嵌套基于角色的访问控制安全组作为最佳实践,而不是为个人分配资源权限。
\n\n无论如何,从下面的 TechNet 链接:
\n\n\n\n\n\xe2\x80\xa2 具有域本地范围的组可以具有以下成员:帐户、具有通用范围的组和具有全局范围的组,全部来自任何域。该组还可以将同一域内具有域本地范围的其他组作为成员。
\n
和,
\n\n\n\n\n要将一个林中需要对不同林中的相同资源进行类似访问的用户分组,请创建与全局组角色相对应的通用组。例如,在 ForestA 中,创建一个名为 SalesAccountsOrders 的通用组,并将全局组 SalesOrder 和 AccountsOrder 添加到该组中。
\n
需要记住的另外两件事可能会帮助您实现此目标,即用于将所需组添加到远程桌面用户的组策略限制组,以及“允许通过终端服务登录”用户权限。
\n\n您可能无法通过传递信任的方式以图形方式浏览其他林中的帐户,而只需输入完全限定的帐户名称,例如GroupInDomainA@DomainA.com或DomainA\\GroupInDomainA等。
更多资源:
\n\nhttp://technet.microsoft.com/en-us/library/cc772808(v=WS.10).aspx
\n\nhttp://technet.microsoft.com/en-us/library/cc776499(v=ws.10).aspx
\n| 归档时间: |
|
| 查看次数: |
6589 次 |
| 最近记录: |