我有两个 Win2k8 林,我对其进行维护。这两个森林彼此之间具有完整的双向、非传递信任。
我在林 X 中有一个文件夹,域 countryX.mycompany.com 只能由名为 $group 的全局安全组访问。
在林 Y 中,域 countryY.mycompany.com、countryY\user1、countryY\user2 等需要访问该文件夹。
自然的本能是将 user1、user2 等放入 $group。但是,将用户添加到组的方法都不起作用,因为 AD 似乎无法在其他林中找到组。
问题: 1.如何让森林看到彼此的安全组并能够添加?2.在实践中,实现用户访问另一个林中的文件夹/文件的推荐方法是什么?
正如您所发现的( Microsoft 可以提供更多详细信息),不同的组类型在多域和多林环境中具有不同的“可见性” 。例如,全局组仅在它们所在的域内“可见”,并且只能包含来自该域的用户(因为成员用户的安全标识符是如何存储的)。
Microsoft 的最佳实践指南如下:
在每个域中创建一个全局组,以包含来自该域的与工作角色相对应的成员
在要控制的资源域中创建域本地组,并授予域本地组对该资源的权限
将每个域的全局组嵌套到域本地组中
在某些情况下,通用组也可以发挥作用(通常是当要管理的资源分布在多个域中时)。
在这个 Microsoft TechNet 论坛线程中有一些不错的(尽管长宽比很有趣)图片可以为您提供一些背景知识。我还建议您也查看维基百科文章以了解更多背景知识。
希望我能直接为您回答这个问题,但是为了您自己的利益,您需要先澄清一些信息。通读这些问题和链接,我相信您将能够获得工作的跨林权限。
最后,这是 TechNet 上的重要资源:了解多林权限。