在合资伙伴之间共享网络的最佳方式

Question

背景
我们公司最近成立了一家合资企业(JV)，我们是其中的管理合伙人。作为管理合伙人，我们负责网络设置和支持。该合资企业仅用于一项工作，任何合作伙伴都不希望另一个合作伙伴访问其现有网络的其余部分。

我们需要从 AD 网络、VOIP 电话系统、打印机和几个 SQL 服务器共享文件。计划是将所有共享资源实际放置在有问题的站点上，并让两个合资伙伴登录到我们的 AD 以对共享资源进行身份验证。每个 JV 合作伙伴都有现有的 AD 网络，这些网络将通过 VPN 隧道从这个共享站点访问。每个 JV 合作伙伴将继续保留其现有电子邮件和来自其主站点的现有共享。

双方合作伙伴目前都是运行 WindowsXP 的 Win2003R2 商店，并计划在未来 6 个月内推出 Windows7。SQL 服务器是 2005 版。
该站点将活跃大约 4 年。

问题
我们如何允许我们的合作伙伴登录我们的 AD，但阻止他们访问除网站上的服务器之外的任何其他服务器？
我们如何进行设置，以便每个合作伙伴各自的 IT 部门无需对我们的 AD 拥有任何管理员权限即可管理本地工作站？
目前，我们正在从下面的网络图工作。使用 VLAN，我们可以防止每个合资伙伴穿越其他人的 VPN 链接，并且仍然允许访问共享资源，但是这种设置不允许每个合资伙伴管理自己的工作站和用户。

我们一直在折腾的其他一些想法是：

• 在 JV 合作伙伴之间建立双向信任，并允许每个合作伙伴管理自己的用户和机器。这有什么优点和缺点？这种信任能延伸多远？
• 创建一个新域并从每个原始域设置单向信任。这有什么优点和缺点？

Answer 1

回复：“我们如何允许我们的合作伙伴登录我们的 AD，但阻止他们访问除网站上的服务器之外的任何其他服务器？”

我强烈建议您为 JV 资源专门创建一个 AD林。使用 JV 成员现有的 AD 基础结构创建单向不传递林信任。使用选择性 DNS 转发，在由 JV 服务器托管的安全 AD 集成 DNS 区域中维护 JV 的 DNS。这使合作伙伴与您自己的服务器保持“距离”。双方应明确将共享数据/应用程序/服务器放入共享区域。将您现有的 AD 用于“共享区域”可能会为您节省一点许可费用，但这不值得增加风险和复杂性。

回复：“我们如何进行设置，以便每个合作伙伴各自的 IT 部门都可以管理本地工作站，而无需对我们的 AD 拥有任何管理员权限？” 和“目前，我们正在从下面的网络图工作。使用 VLAN，我们可以防止每个合资伙伴穿越其他的 VPN 链接，并且仍然允许访问共享资源，但是这种设置不允许每个合资伙伴管理他们的自己的工作站和用户。”

我不确定我是否理解。我明白你在说什么：将网络流量与 JV 成员隔离，但我没有关注其余部分。JV 成员将在他们自己的 AD 林中还是在 JV 林中拥有用户和计算机帐户？这对我来说不清楚。我会让 JV 成员在他们自己的 AD 林中维护他们的用户和计算机帐户，并通过 JV AD 林中组的成员身份授予对 JV 共享资源的访问权限。

哦！我想我明白了。在这个“站点”上会有一些客户端计算机，它们是由两个 JV 成员共同工作的用户共享的！我对吗？

您可以通过多种不同的方式处理这些“共享”计算机。

我可能会将计算机加入 JV AD 域，但您可能不会。客户端计算机的所有权可能会决定我将如何处理。如果客户端计算机仍然与每个 JV 成员在一起，那么我想我会将它们加入拥有 JV 成员的 AD 域。

将客户端计算机加入 JV AD 域后，来自任一 JV 成员域（以及 JV AD 域本身）的用户帐户可用于登录客户端计算机（因为存在从 JV AD 林到成员的 AD 森林）。

请注意，将每个成员的 AD 林中的只读域控制器放在“共享站点”中会很有帮助。如果客户端计算机加入 JV AD 林，则计算机组策略将来自 JV AD 林。不过，用户组策略将来自成员的 AD 林，因此拥有本地 DC 会有所帮助。如果客户端计算机加入成员的 AD 林，那么显然，每个成员的林都有一个本地 DC 会很好。

JV AD 林中的控制委派可用于为 JV 成员的 IT 员工提供他们在 JV AD 林中所需的任何能力。组策略“受限组”可用于授予 JV 成员的 IT 人员对加入 JV AD 域的“他们的”客户端计算机的管理权限。（保留在成员 AD 林中的客户端计算机是一个有争议的问题。）

回复：“在 JV 合作伙伴之间建立双向信任，并允许每个合作伙伴管理自己的用户和机器。这有什么优点和缺点？这种信任能延伸多远？” 和“创建一个新域并从每个原始域设置单向信任。这有什么优点和缺点？”

Windows“信任关系”本身并不授予对任何内容的访问权限。看看这句话：“域 A 信任域 B。”

现在，将“信任”一词替换为短语“允许在权限中命名用户、组和计算机来自”：“域 A 被允许在权限中命名来自域 B 的用户、组和计算机”。

“信任”不授予访问权限，它允许您授予访问权限。如果您有专用的 JV AD 林，您会希望它与 JV 成员的 AD 林具有外部不传递单向信任，以便 JV 成员林中的用户和组可以在权限中命名或加入到合资广告森林。这将允许在该成员自己的 AD 林中管理每个 JV 成员的用户和计算机帐户。通过使用位于 JV AD 林中的组来控制对 JV 资源的权限，JV 可以有效地管理对 JV 资源的访问权限。

根据我对您的情况的了解，您在任何情况下都不会想要双向信任。我是否正确地认为，任何 JV 成员都不需要在权限中命名另一个成员的用户、组或计算机？听起来似乎不会在两个 JV 成员拥有的服务器上托管共享资源，因此不需要相互信任。话虽如此，但 2 向信任仅允许授予访问权限的能力，而实际上并未授予任何访问权限。

几年前，我在当地一家医院协会和几组医生之间开展了一个类似项目。在他们的案例中，他们为 JV 创建了一个专用的 AD 林，但没有与现有 JV 成员的基础设施建立信任关系。我们最终在 JV 成员的本地 AD 和 JV AD 中获得了重复的凭据。这是我在他们的网络中看到的最大的“疣”，也是我将来会避免的。

我看到你正在建设中。我有一个客户，他负责大型建筑项目的工程和项目管理，并且经常在客户站点的现场办公室（又名“拖车”）工作多年。我还没有遇到过客户或项目中的其他承包商达到您正在寻找的详细程度的情况，但我上面概述的情况将是如果确实发生了我将如何追求它。为 JV AD（和成员的现场只读 DC）托管域控制器的一些 Windows Server 许可证和计算机的费用在 4 年内没有多少摊销，并为进行共享创建了一个非常坚实的基础。操作。