我对 Windows 管理(Server 2008r2)还不太熟悉,但我正在组建一个新环境,并设置活动目录域。
我将系统分为两个部分:管理 (mgt) 和运营 (ops)。它们都是同一系统的一部分,但它们的可用性需求略有不同。
我决定将我的系统命名为“vmnet”。我创建了 2 个域,vmnet.ops 和 vmnet.mgt。
我认为这些将是完全独立的域名,就像 .com 和 .org 网站一样。
不幸的是,当我在 vmnet.mgt 上配置文件共享时,我意识到 vmnet.ops 上具有相同名称的用户无需输入凭据即可访问该共享。
因此:1)管理域服务器上的文件夹共享到[电子邮件保护]通过 Windows 共享。2) 登录到 ops 域工作站 ([电子邮件保护]),然后尝试访问共享文件夹。3) 它让我进入,无需输入凭据。4) 从 vmnet.ops 框查看共享文件夹权限,它显示它与[电子邮件保护] 5) 从 vmnet.mgt 计算机查看实际共享文件夹,它声称仅与[电子邮件保护]。
这里似乎有重叠。不同的域应该有完全不同的 UID 吗?一点重叠都没有?还是我搞错了,vmnet.ops 和 vmnet.mgt 是同一个域,而 .mgt/.ops 无关?
答案1
如果每个域上都有一个 jake 用户,并且密码相同,则一个域中的 jake 将能够访问另一个域中的共享,因为密码相同。它的工作原理如下:
如果 jake@domain1 正在访问 domain1 中的资源,则不会向托管该资源的系统发送密码,因为 jake 在登录域时获得了安全令牌,并且该安全令牌用于获取访问权限。
如果 jake@domain1 正在访问不在 domain1 上的资源(即在 domain2 中,或不在域中的系统中),它会将 jakes 的用户名和密码传递给另一个系统,如果凭据与该域或计算机上的 jake 用户匹配,那么 jake 将可以访问这些资源。