小编Sco*_*erg的帖子

背景
我们公司最近成立了一家合资企业(JV)，我们是其中的管理合伙人。作为管理合伙人，我们负责网络设置和支持。该合资企业仅用于一项工作，任何合作伙伴都不希望另一个合作伙伴访问其现有网络的其余部分。

我们需要从 AD 网络、VOIP 电话系统、打印机和几个 SQL 服务器共享文件。计划是将所有共享资源实际放置在有问题的站点上，并让两个合资伙伴登录到我们的 AD 以对共享资源进行身份验证。每个 JV 合作伙伴都有现有的 AD 网络，这些网络将通过 VPN 隧道从这个共享站点访问。每个 JV 合作伙伴将继续保留其现有电子邮件和来自其主站点的现有共享。

双方合作伙伴目前都是运行 WindowsXP 的 Win2003R2 商店，并计划在未来 6 个月内推出 Windows7。SQL 服务器是 2005 版。
该站点将活跃大约 4 年。

问题
我们如何允许我们的合作伙伴登录我们的 AD，但阻止他们访问除网站上的服务器之外的任何其他服务器？
我们如何进行设置，以便每个合作伙伴各自的 IT 部门无需对我们的 AD 拥有任何管理员权限即可管理本地工作站？
目前，我们正在从下面的网络图工作。使用 VLAN，我们可以防止每个合资伙伴穿越其他人的 VPN 链接，并且仍然允许访问共享资源，但是这种设置不允许每个合资伙伴管理自己的工作站和用户。

我们一直在折腾的其他一些想法是：

• 在 JV 合作伙伴之间建立双向信任，并允许每个合作伙伴管理自己的用户和机器。这有什么优点和缺点？这种信任能延伸多远？
• 创建一个新域并从每个原始域设置单向信任。这有什么优点和缺点？