我有一个旧的旧版 Windows 2000 域服务器,其名称已过时。
我创建了一个新的 Windows 2008 R2 Active Directory 域服务器。我希望能够在新域服务器上共享一个目录,并允许仍然登录旧域的所有人访问该共享目录。
但是现在,例如在 Windows 7 中,尝试访问驱动器时需要选择“以其他用户身份访问”选项,然后清除用户名和密码。
我的想法是尽可能地移动每台计算机,直到我找到一台计算机并将其从旧域移动到新域时,用户仍然可以访问已移动到新域中新服务器的所有网络文件。
答案1
我将与 Jason Berg 说的内容大致相同,但我将在 DNS 部分更加详细地说明和强调,因为如果 Windows 2000 Active Directory 域中的服务器和客户端计算机以及 Windows Server 2008 Active Directory 域中的域控制器上没有良好的 DNS 解析,那么这一切都将无法实现。
如果您可以创建一个 DNS 环境,允许 W2K 域中的客户端和服务器计算机解析 W2K8 域的域控制器计算机的名称,那么您可以继续创建信任关系并轻松进行域迁移。
希望您在 Windows 2000 Server 域控制器计算机上托管 DNS,并且希望您的客户端计算机也使用相同的 DNS。遗憾的是,Windows 2000 DNS 服务器不允许将非权威区域有条件地转发到另一台 DNS 服务器,就像 Windows Server 2003 DNS 服务器一样。如果您的 W2K8 DNS 服务器可以解析 Internet 名称,只需将 W2K8 DNS 服务器设置为 W2K DNS 服务器上的“转发器”即可。如果不能,那么您可以考虑在 W2K DNS 服务器上为 W2K8 域及其“_msdcs”子域创建辅助区域(但这需要更多工作)。
在 W2K8 方面,只需为 W2K 域名创建条件转发到 W2K DNS 服务器,即可开始工作。
一旦您可以从两个域中的域控制器解析另一个域中的域和域控制器的完全限定域名,就可以继续创建信任关系。
正如 Jason Berg 所说,单向、外向、外部信任是您在 W2K8 域中寻找的。在获得良好的 DNS 解析之前,不要费心尝试创建它。
完成此操作后,您可以在 W2K8 域的权限中命名 W2K 域中的用户(以及可能的组)。W2K8 域中的用户帐户也可用于登录 W2K 域中的客户端计算机(并且将应用 W2K8 域中为用户指定的组策略!但是,您不能将 W2K8 域中的任何计算机组策略应用于加入 W2K 域的计算机。)
如果您想创建双向信任并使用 ADMT 等工具,您当然可以。不过,单向信任将帮助您在 W2K8 域中的权限中命名 W2K 域安全原则。
答案2
在 2008 服务器上设置传出信任http://technet.microsoft.com/en-us/library/cc816738%28WS.10%29.aspx一旦建立了此信任,您就可以授予旧域中的域用户对此文件夹的权限。
这需要您先设置 DNS 转发。因此,请登录到每台服务器,并设置转发以将其他域后缀指向其他 DNS 服务器。
您还可以尝试设置双向信任,而不是传出信任。设置完成后,您可以使用 ADMT 将计算机迁移到新域(而不是单独迁移到每台计算机)。