我正在使用带有 Windows Server 2012 的终端服务服务器,我们有两个通过 NLB 共享的终端服务器,用户DOMAIN1
使用远程桌面连接连接到域中的终端(见下图)。
我需要将终端用户的网络驱动器映射到另一个域(具有域控制器 Windows Server 2003)上的共享。我尝试通过(Windows Server 2012 的域控制器)DOMAIN2
创建 GPO来映射网络驱动器。DOMAIN1
DC1
DOMAIN1
DC1
并且DOMAIN2
物理上连接在同一个网络中。
DOMAIN2
如何在主域 () 中的终端上将网络驱动器映射到其他域 () 中的共享DOMAIN1
?
答案1
简短的回答是 - 您可能需要查看两个域之间的信任关系。如果存在信任关系,那么您将能够在它们之间使用身份验证,这样“一切”都将正常工作。
较长的答案:当您登录到 Kerberos 领域(或多或少是 Windows 域)时,您会收到一张票证授予票证 - TGT
- 您可以在运行时在主机上看到它klist
。此票证用于授予对域内资源的访问权限 - 您请求访问权限\\servername\sharename
,然后域控制器会向您颁发访问票证。
当您跨域时,该机制不存在 - 就远程域而言,您的票不是“有效的”。
你可以选择以下方式:以域用户身份登录远程域(也可以从其他来源获取票证/身份验证)或建立信任关系,这样你是视为有效用户。
答案2
您可以使用组策略扩展来实现这一点。(映射网络驱动器)。如果您的域不受信任,则您需要在两端拥有相同的用户并使用相同的密码,或者您需要在 GPO 中的映射网络驱动器对话框中提供密码。
如果这也不是一个选项,您可以使用一个登录脚本,该net use \\server\path /USER:DOMAIN2\user
脚本会发出一个请求用户输入密码的脚本。