有包含用户的域 U 和包含资源的域 R。我需要代表域 U 中的具体用户在域 R 中的机器上运行 IIS 应用程序(来自 U 的此帐户用于外部 Web 服务的 NTLM 身份验证)。
我尝试了以下测试来模拟 Prod 环境:创建两个独立的根域林,创建从域 R 到域 U 的传出信任关系,但为了成功,我强制使用共享密码在域 U 中创建传入信任关系(在测试环境中我有这种可能性,但在 PROD 上我没有。)下面是传出信任关系的配置,我希望它能解决问题,但没有:
此域:R 指定域:U 方向:传出:指定域中的用户可以在本地域中进行身份验证。信任类型:外部传递:否传出信任身份验证级别:域范围身份验证。信任方:仅为此域创建信任。
是否有可能,如何为域 R 的资源建立单向传出信任关系,而无需域 U 中的用户批准?也就是说,域 U 不应该知道这种信任关系。在测试环境中,我可以在域 U 的 AD 中采取行动,但我没有任何凭据来在 PROD 上建立信任。我认为这应该是合理的——如果我信任某人用我的资源做某事,为什么我要征得他的批准。可能只是因为我创造了他执行此类活动的责任。