我们的环境中有 2 个域(A
, )。B
每当有人加入公司时,他的帐户都会在域中创建A
。如果某人必须在特定部门工作,则会在域中为他创建一个帐户B
。两个帐户都具有相同的用户名,并且域B
与域具有信任关系A
。
使用域的部门B
有许多应用程序/软件/服务器(300 多台 Windows 和 Linux 机器)和大约 150 个活跃用户。现在公司希望我们让用户A
在所有域B
服务器中使用他们的域帐户。
有办法实现这个吗?
答案1
这就是域信任为了- 它允许您将域 A 中的用户添加到域 B 中的安全组。
只需将相关用户添加到他们需要加入的部门组即可。
答案2
您可以使用信任关系(森林信任或域信任)允许域 A 帐户访问域 B 中的资源。使用森林信任,您可以允许所有帐户从 A 到 B 进行身份验证,或者您可以启用选择性身份验证,这将要求域 B 中的每个资源服务器专门允许域 A 中的帐户进行身份验证。
如果您的组织正在讨论将域 B 作为主要帐户位置,您会发现 Active Directory 迁移工具 (ADMT) 非常有用,因为它实际上可以将用户帐户从一个域(或林)迁移到另一个域(或林)。最重要的是,如果两个林中存在同一个用户的帐户,它可以合并这些帐户,甚至可以保留这些用户的 SID 历史记录,这使得管理共享资源(共享权限、NTFS 权限等)上的 ACL 更容易继续管理。
正如上面的一条评论所述,听起来您可能希望从本地资源获取一些额外输入。这不是一个极其复杂的设置,但肯定比典型的 AD 环境更先进。