在我的公司,我们拥有非常复杂的基础设施。
我们来自一家子公司,并且在我们的 PC 中配置了一个 Active Directory 域。除此之外,我们所有人都有一个主公司的目录帐户,用于访问主公司的某些资源和网站,以及另一个目录帐户,用于访问其他子公司的某些资源。
我们的子公司域名不在主公司林中,无法更改,我们无法在域之间启用信任,也无法更改主公司资源、企业政策:(
我们链接要做的是创建某种浏览器组件或Windows服务,将我们的公司帐户映射到主公司帐户,因为计算机用户不必在每次访问资源时都输入主公司凭据(所有主公司资源都使用Windows身份验证)。
我们不能使用影子会计,因为用户名不一样。
我看到了 Windows 7 中的在线 ID 提供商功能,但我不知道我们是否可以将其用于浏览器上的 Windows 身份验证,以映射不同的帐户。
你们有人知道我们可以从哪里开始吗?或者有办法解决这个问题吗?谢谢大家
答案1
AD 联合服务是一种让 X 域中的用户无需信任即可访问 Y 域中的资源的方法。它可能无法满足您的所有要求,但它几乎是唯一可以满足您所有要求的东西。
答案2
建议的方法是建立适当的信任关系以实现安全、便捷的访问。
您可以考虑建立单向/双向信任关系(根据您的身份验证需求),或者,如果您希望保持自主和隔离,您可以考虑将每个域转换为他们自己的林,然后建立跨林信任。
如果您不希望对 AD 设计进行任何此类更改,则可以使用 AD 的联合服务来启用两个域之间的安全访问。