如何让一个林中的安全组出现在另一个林中?

如何让一个林中的安全组出现在另一个林中?

我有两个 Win2k8 林,我负责维护它们。这两个林之间具有完全双向的外部、非传递的信任。

我在林 X、域 countryX.mycompany.com 中有一个文件夹,只能由名为 $group 的全局安全组访问。

在林 Y 中,域 countryY.mycompany.com、countryY\user1、countryY\user2 等需要有对该文件夹的访问权限。

自然的直觉是将用户 1、用户 2 等放入 $group。但是,将用户添加到组的所有方法都不起作用,因为 AD 似乎无法在其他林中找到这些组。

问题:1.如何让森林看到彼此的安全组并能够添加?2.在实践中,建议采用什么方法来实现用户对另一个森林中的文件夹/文件的访问?

答案1

正如您所发现的,不同的组类型在多域和多林环境中具有不同的“可见性”(微软可以提供更多细节)。例如,全局组仅在其所在的域内“可见”,并且只能包含来自该域的用户(因为成员用户的安全标识符的存储方式)。

微软的最佳实践指南如下:

  • 在每个域中创建一个全局组,以包含该域中与工作角色相对应的成员

  • 在需要控制的资源的域中创建域本地组,并授予域本地组对该资源的权限

  • 将每个域的全局组嵌套到域本地组中

在某些情况下,通用组也可以发挥作用(通常当要管理的资源分布在多个域中时)。

有一些不错的图片(尽管长宽比有点奇怪)在此 Microsoft TechNet 论坛主题中这可以给你一些背景信息。我还建议你看看维基百科文章并形成更多背景信息。

答案2

希望我能直接为您回答这个问题,但您需要先为自己澄清一些信息。阅读这些问题和链接,我相信您将能够使跨林权限发挥作用。

  1. “外部信任”类型只能存在于 2 个林中的域之间。外部信任不会在林级别建立连接。您有这种情况吗?关联
  2. 两个森林之间有防火墙吗?如果有,你是否确认所需端口开放吗?
  3. 您是否已设置DNS 转发器两个域之间?
  4. 评论此内容安全组指南在 Active Directory 中。您只能将某些类型的组嵌套在其他组内,并且当跨越域或林边界时,可以嵌套的组类型会受到更多限制。

最后,这里有一个关于 TechNet 的优秀资源:了解多林权限

相关内容