我对 Active Directory 和网络设置的了解有限。在此示例的环境中,一个林下有多个域。出现的情况是,域 A 的用户可以访问域 B、域 C 等上的网络文件共享。
是什么原因导致了这种跨域访问?我最初以为这是由于“Everyone”AD 组被分配了对各种网络共享的访问权限,但有些访问实例中并没有“Everyone”组。
最后,您将如何保护文件访问,以便域 A 无法访问林下另一个域的网络文件共享?如果您能对导致此事件的原因或如何更好地保护访问,以便无法进行跨域文件访问进行任何深入了解,我们将不胜感激。
谢谢。
答案1
听起来你正在写关于域信任的文章。使用 Windows Active Directory 林,域信任可以是单向的(域 B 信任域 A),也可以是双向的(域 A 和域 B 相互信任)。单向信任的结果是来自受信任域的帐户可以针对信任域的域控制器进行身份验证。你应该检查相关文件夹的 NTFS 权限,并查看访问控制列表中的用户或组存在于哪个域中。
该博客有一些您可能会觉得有用的好信息。 https://blogs.msmvps.com/acefekay/2016/11/02/active-directory-trusts/