我们有两个完全独立的森林,它们之间没有信任。
我可以使用“映射网络驱动器”中的“使用不同凭据连接”选项(提供用户/密码提示)将我计算机上的驱动器映射到另一个林中的服务器,并且这可以正常工作。
但是,我们现在想要在多个用户电脑上自动映射此驱动器,而不必前往每一台用户电脑并单独映射它,或者给他们密码以便他们自己映射它。
我们通常使用 GPO 来映射我们域内的驱动器(用户配置 -> 首选项 -> Windows 设置 -> 驱动器映射)并使用指向某个组的项目级别定位。
我们最初的研究表明,我们可以使用来自第二个域的用户并在 GPO 中输入“连接为”凭据,这样我们就可以定位一个组并将驱动器映射为特定用户。
然而,在尝试之后,我们发现由于在 AD 中保存该信息的安全问题,这种行为已经被弃用。
使用涉及网络共享的登录脚本(net use 或 PSDrive)进行映射的其他方式在这种情况下似乎并不安全,因为我见过的示例都在脚本中具有凭据。
总结
我们需要一种方法自动地在两个独立的林之间映射驱动器(即在第一个林中使用第二个林的用户凭据),这样不会向域用户公开用户/密码 - 将其应用于第一个域中某个组的成员 - 使我们不必访问每个需要映射此位置的用户的 PC
补充信息:
当我们第一次尝试使用 SMB 作为 NFS 时,发现错误百出。
第二个域中的服务器共享的是 2012 R2,
第一个域中的客户端是 Windows 7/10