我想创建一个环球集团其成员由跨林用户和组组成。
在以下示例中,提到了两个森林(美国和英国)以及每个森林中的两个域(GeneralStaff 和 Java):
例如,通用开发者组可能由来自 UK.Java.Developers 和 US.Java.Developers 的成员组成。那么,例如,可能有一组普遍销售其中包含用户 UK.GeneralStaff.John 和 US.GeneralStaff.Dave。
目前在英国森林中,我可以自由添加来自英国的成员和群组。但是,尽管建立了双向信任,却无法添加来自美国森林的成员……例如,我可以使用美国成员登录英国,反之亦然。
更复杂的是,对于英国的 Universal 组(包含三个域),我只能添加其中两个。它无法看到第三个。
大家能否提供一些关于为什么不能创建跨林组以及如何“查看”林内所有域的想法。
编辑:这是在 Windows 2003 和 2008 服务器的组合上。答案可以与其中任何一个有关。谢谢!
答案1
您无法将受信任林域中的用户添加到通用组。您需要使用域本地组。请参阅Active Directory 组范围。您没有提到要使用这些群组来做什么,所以我只能建议这么多。