我们存在于一家大型企业(拥有一个活动目录,但我们显然无法获得管理员权限),并且想为我们的开发部门设置一个本地活动目录。
这个问题是我可以向企业 AD 人员提出的案例的一部分,明确定义我们需要他们做什么。我不建议在他们不采取行动的情况下完成这项任务。
我们希望能够在本地 AD 中使用企业 AD 用户。
在这个本地 AD 中,我们想要放置我们的开发服务器,其中一些服务器将从黄金映像中进行配置,并按小时或更快的速度被丢弃。
本练习的一部分是,我们希望使用企业 AD 中现有的用户登录本地 AD 中现有的服务器。使用企业 AD 作为身份验证,使用本地 AD 作为授权。
这是一个子域还是具有单向信任的外部域?
有人可以教育我一下吗,也许可以给我一些关于如何设置实验室的想法,以便我们可以在没有管理员权限的情况下针对企业 AD 进行测试。
答案1
我会选择单向林信任。您也可以使用外部信任,但有些极端情况无法正确使用外部信任,但可以使用林信任。根据您正在做的事情,可能需要在生产林中进行一些调整才能使名称解析正常工作(存根区域/DNS 后缀搜索顺序)。
子域不是一个好的选择,因为测试环境通常存在安全风险,而林是安全边界。(子域信任是可传递的)。单向信任确保测试环境无法访问生产林。