我已经设置了一个新域(称为“b”),它信任我们的旧域(称为“a”)。这是一种单向信任,允许来自“a”的用户使用其域“a”凭据登录并验证域“b”。我们遇到的问题是,我们无法将“a”组和用户添加到域“b”的组中。在 AD 中,当尝试在位置下添加组/用户时,仅列出域“b”。但是,如果我们在域“b”中的计算机上创建共享文件夹,我们可以毫无问题地添加来自域“a”的组和用户,并且这些用户可以毫无麻烦地访问。
域“a”包含两个服务器 2003 域控制器和一个 Windows 2000。域“b”包含一个服务器 2008 域控制器和一个服务器 2008 RODC。
域“a”的森林功能级别为 2000,而域“b”的森林功能级别为 2008。
我们如何将域“a”中的组/用户添加到域“b”中的组?考虑到当前的基础架构/配置,我们尝试执行的操作是否可行?
预先感谢您的任何帮助。
答案1
您可能正在尝试使用没有适当范围的组来查看来自受信任域的成员。
如果这是跨林信任,那么您能够用来为域“a”中的域 b 中的用户分配权限的唯一组类型是域本地。
如果这不是跨林信任,那么您可以使用域本地或通用。
微软有一个很好的Technet 文章关于团体范围。