我们的业务部门已被外部实体收购。
我们正在运行 2008 R2 AD,他们正在运行 2012 AD,域未加入或不受信任。
他们的总部数据中心(域 A)拥有包括域控制器在内的服务器。
我们这里有一个域控制器(域 B)。现在从总部(域 A)来看,我们被视为海外。
两个站点都通过 VPN 连接,并且所有服务器都可以相互联系,事实上,他们构建了一个 DC 在我们网络中的办公室中运行(但目前不与域 B 的 DC 通信,它通过 VPN 同步到其主域 A DC)。
问题 - 我们需要做什么(在工作站和服务器上)来:
允许域 A 总部的用户使用其正常的域 A 凭据登录其新海外办事处的工作站(域 B 加入的工作站)
是否仍然允许现有的B域用户照常登录并使用他们的工作站(现有的B域活动目录账户可以像以前一样使用B域工作站)?
如果使用信任,这是否需要单向或双向?是否只需添加信任即可,还是需要在工作站或组策略上配置任何内容?
答案1
乔给出了正确答案(并且应该将其作为答案发布出来。)
您至少需要单向信任,即域 B 信任域 A。这样,域 A 用户就可以登录到域 B 工作站(要求 1)。
信任不会以任何方式影响域 B 用户如何继续登录域 B 工作站,因此您不必对要求 2 执行任何操作。
您应该仔细阅读此内容,并开始与购买了您的业务部门的公司的 IT 部门交谈,以确定当前和长期的业务需求。为了避免一些潜在的混淆,以下是一些重要的相关信息。
- 您不能将您的域添加到他们的林中。
- 域 B 用户登录域 A 工作站需要双向信任,这不是明确的要求,但可能是下一个问题。
- 您可以使用 ADMT 或第三方工具将工作站、服务器和用户(以及其他内容,如 Exchange、Sharepoint 等)从您的域迁移到他们的林中。
编辑 - Joe 还就 GPO 行为的预期提出了一个很好的观点。真的,正如我上面所说,你应该对此进行认真的研究。这有各种各样的影响,无论是技术影响还是组织影响,特别是如果你所在的企业受到任何类型的隐私法规的约束 - PCI、HIPAA、SOX 等等。