在我们的组织中,我们有两个 Active Directory 林,A 和 B,它们之间没有任何信任关系。现在,我们需要安装 Sharepoint 2010,以允许来自两个域的用户登录。
IT 提到两个林之间的信任关系是一种安全漏洞,因为它无法提供数据/服务隔离。这是正确的吗?是否可以在两个林之间没有信任关系的情况下进行配置?
答案1
建立信任关系可以让你可能性授权和/或拒绝来自新域的用户和组的访问。信任关系不保证新域中的任何人都可以访问任何内容。
请记住,内置的“经过身份验证的用户”和“所有人”组做包括来自其他受信任域的用户,而“域用户”则不包括。如果您的网络权限一开始就设置正确,则不会出现任何问题。
如果您或您的 IT 同事有任何疑问,请在受信任的域上设置一个测试帐户,并使用它来验证在您预计被拒绝的任何地方访问是否都被拒绝。