我在一家小公司工作,这家公司隶属于一家大公司。我在母公司的域中有一个用户:DomainA\MyUser
。
现在我们买了自己的服务器,想要自己的域名。我在新域中创建了一个用户,用户名和旧用户名一样:DomainB\MyUser
。这个用户是 的网络管理员DomainB
。
我的计算机仍在DomainA
。当我以 身份登录时,我获得了新服务器(该服务器是 的域控制器且未连接到)上DomainA\MyUser
的所有权限。DomainB\MyUser
DomainB
DomainA
即使我将其设置DomainB\MyUser
为非活动状态也是如此。
这怎么可能??
[编辑 2010-07-06]
不适用于已禁用的用户DomainB
。上次我尝试时忘记终止该用户的所有会话。
我使用远程桌面时的屏幕截图:http://www.enalog.se/files/index.html (死的)
细节:
NEMOQ_AD
是旧域名。ENALOG
是新域名。VOLDEMORT
是 的域控制器ENALOG
。
Peter
是用户
[编辑 2010-07-08]
当我输入用户为 时MyUser@DomainA
,我无法登录。为什么它可以起作用DomainA\MyUser
?
答案1
这是 NTLM 功能,它会自动尝试与您输入的域名不同的域名。
屏幕截图中的每个登录都是用户ENALOG\Peter
,而不是NEMOQ_AD\Peter
。
你打字域NEMOQ_AD\Peter
,因为NEMOQ_AD
不是信任域ENALOG
。(见下文。)
NAMOQ_AD
请注意,一旦连接到,您就看不到任何地方Voldemort
。
NTLM 直通身份验证
NTLM 支持一种称为传递身份验证。本文的重点在这里:(重点已添加)
- 如果指定的域名不受域信任,身份验证请求在所连接的计算机上进行处理,就好像指定的域名就是该域名一样。NetLogon 不区分不存在的域、不受信任的域和错误输入的域名。
净共享使用示例
发生的情况如下:
Voldemort
接收验证用户的请求NEMOQ_AD\Peter
。Voldemort
发现这NEMOQ_AD
既不是它自己的域,也不是它信任的任何域。- 伏地魔会尝试验证用户身份
ENALOG\Peter
。 - 由于您输入了密码
ENALOG\Peter
(正如您在另一条评论中所说),因此身份验证成功。
一般而言
当您访问驱动器共享时,您必须使用 NTLM(任何使用 Kerberos 的尝试都会失败,因为ENALOG
不信任NAMOQ_AD
)使用直通身份验证,这允许您无需输入密码即可访问网络共享。这仅在您在两台计算机上使用同名帐户和相同密码时才有效。
回复 RDP
使用时输入密码远程桌面,它的行为就像您尝试以 而ENALOG\Peter
不是 的身份登录NEMOQ_AD\Peter
,并使用您输入的任何密码。这样,如果您输入Peter
为您的用户名,本地计算机会发送,NEMOQ_AD\Peter
因为这是它知道的唯一域,但远程计算机决定尝试ENALOG\Peter
。
回复 SSMS
我假设 SQL Server Management Studio 正在使用一种策略或另一种策略(可能是第二种),我不知道其实现的具体细节,也没有两个域可以对其进行测试。
答案2
这不可能。有些配置有误。
答案3
你能说得更具体一点吗?你获得相同权限是什么意思?你指的是文件和文件夹权限吗?你把 userB 帐户设置为不活动是什么意思?没有“不活动”这回事。你的意思是你将 userB 帐户设置为禁用吗?
答案4
斯蒂芬詹宁斯已经彻底回答了这个问题,但我只是出于好奇在想,在这种情况下单独域名的原因是什么?
有很多好的理由,但通常维护多个域名很麻烦,听起来好像不是任何人都能够管理它,而只是会产生与为特定人群维护多个域名相关的典型开销。
为什么不将新服务器纳入现有域,使用配置将其资源限制在您的公司。您需要访问母公司的资源吗?母公司管理员不受信任吗?