我有两个 Win2k8 林,我负责维护它们。这两个林之间具有完全双向的外部、非传递的信任。
我在林 X、域 countryX.mycompany.com 中有一个文件夹,只能由名为 $group 的全局安全组访问。
在林 Y 中,域 countryY.mycompany.com、countryY\user1、countryY\user2 等需要有对该文件夹的访问权限。
自然的直觉是将用户 1、用户 2 等放入 $group。但是,将用户添加到组的所有方法都不起作用,因为 AD 似乎无法在其他林中找到这些组。
问题:1.如何让森林看到彼此的安全组并能够添加?2.在实践中,建议采用什么方法来实现用户对另一个森林中的文件夹/文件的访问?
答案1
正如您所发现的,不同的组类型在多域和多林环境中具有不同的“可见性”(微软可以提供更多细节)。例如,全局组仅在其所在的域内“可见”,并且只能包含来自该域的用户(因为成员用户的安全标识符的存储方式)。
微软的最佳实践指南如下:
在每个域中创建一个全局组,以包含该域中与工作角色相对应的成员
在需要控制的资源的域中创建域本地组,并授予域本地组对该资源的权限
将每个域的全局组嵌套到域本地组中
在某些情况下,通用组也可以发挥作用(通常当要管理的资源分布在多个域中时)。
有一些不错的图片(尽管长宽比有点奇怪)在此 Microsoft TechNet 论坛主题中这可以给你一些背景信息。我还建议你看看维基百科文章并形成更多背景信息。