使用现有的 AD 域 (company.net),我们需要添加具有单向信任的子域 (untrusted.company.net)。在我的实验室中进行的测试以及我在 Google 上进行的搜索似乎表明这不可能实现,因为在创建子域时会建立默认的不可更改的双向信任。
有人知道实现这个目标的方法吗?
我知道我可以创建一个单独的林,但老板不同意。我公司的管理层(嘘...嘘...)要求这是一个真正的子域。
详细信息:现有域和林在 2008 r2 SP1 机箱上为 2008 功能级别。子域将位于 2008 R2 SP1 上,并将从 2008 功能级别开始。
答案1
当域不在不同的林中时,跨林信任关系根据定义是不可能的。
不幸的是,您需要与打电话的经理进行一次愉快的交谈,并解释这两个要求是冲突的。
答案2
子域具有内置的双向传递信任。您无法修改此行为。如果您需要安全边界,则需要单独的林。
独立的域创建管理边界。独立的林创建安全边界。