我们的业务部门已被外部实体收购。
我们正在运行 2008 R2 AD,他们正在运行 2012 AD,域未加入或信任。
他们在总部数据中心(域 A)中拥有包括域控制器在内的服务器。
我们这里有一个域控制器(域 B)。我们现在被认为是总部(域A)的海外。
两个站点都通过 VPN 链接,所有服务器都可以相互联系,事实上,他们构建了一个 DC 来在我们网络中的办公室运行(但目前不与域 B 的 DC 通信,它同步到它的主域 A通过 VPN 的 DC)。
问题 - 我们需要做什么(在工作站和服务器上)来:
允许域 A 总部的用户使用其正常的域 A 凭据登录到其新海外办事处(加入域 B 的工作站)的工作站
仍然允许现有的域 B 用户照常登录和使用他们的工作站(现有的域 B 活动目录帐户可以像以前一样使用域 B 工作站)?
如果使用信任,这需要是单向的还是双向的?是否只是添加信任的情况,仅此而已,还是需要在工作站或组策略上配置任何内容?
乔得到了正确的答案(并且应该将其作为答案发布。)
您至少需要一个单向信任,域 B 信任域 A。这样,域 A 用户可以登录到域 B 工作站(要求 1)。
信任不会以任何方式影响域 B 用户如何继续登录到域 B 工作站,因此您不必为要求 2 做任何事情。
您应该阅读此内容,并开始与购买了您的业务部门的公司的 IT 部门交谈,以确定当前和长期的业务需求。为了防止一些潜在的混乱,这里有一些重要的相关信息。
编辑 - Joe 还提出了一个很好的观点:GPO 行为。真的,正如我上面所说,您应该对此进行一些认真的研究。有各种各样的影响,技术和组织,特别是如果您从事的业务属于任何类型的隐私法规 - PCI、HIPAA、SOX 等等。