TL;DR:只需查看下面链接的图像。
我们有一个 RD 网关和网络策略服务器,它们都在具有林功能级别 2008 R2 的环境中运行在 Windows Server 2012 R2 上。与 OtherCompany 建立了新的双向林信任,据我所知,信任工作正常。但是,NPS 无法允许来自受信任域的远程桌面用户,但仅当这些用户位于嵌套组中时。
- NPS 基本上有一条规则:如果用户是“远程用户 - 本地域”组的成员,则允许。
- 该组内还有另外两个组,“OurCompany Remote Users”(全局)和“OtherCompany Remote Users”(域本地)。
- 这些组内有来自各自域的个人用户帐户。
- “OurCompany 远程用户”中的用户始终符合 NPS 规则。
- “其他公司远程用户”中的用户是不是符合规则。
- 我发现如果我添加 OtherCompany 用户直接到 NPS 规则提到的域本地组他们将开始匹配。
- 直接将单个用户添加到资源中并不是一个可接受的长期安排;我们需要将用户分配给组,并让组拥有资源权限,以避免安全混乱。
我还没找到其他遇到过类似问题的人。如果有与此相关的记录行为或最佳实践,我将不胜感激。