我在两个 Windows Server 2008 R2 域/林(Windows Server 2008 R2 的域和林功能级别)之间具有跨林信任。域 A 和 B 是其各自林中的林根域,域 C 是域 B 的子域。
A<->B--C
该信任是配置了林范围身份验证的双向传递林信任。当我查看每个域中的 TDO 对象时,我看到 domainB 有一个用于 domainA 和 domainC 的 TDO,但 domainC 只有一个用于 domainB 的 TDO。domainA 同样有一个仅用于 domainB 的 TDO。我在每个域的 Active Directory 域和信任中看到了同样的情况。
在 domainC 计算机上选择“登录到”下拉列表时,我只看到 domainB 和 domainC 列出。在 domainB 计算机上选择“登录到”下拉列表时,我看到 domainB、domainC 和 domainA 列出。在 domainA 计算机上选择“登录到”下拉列表时,我只看到 domainA 和 domainB 列出。
跨林 DNS 名称解析通过 domainA 和 domainB 之间的条件转发器在所有三个域之间工作,我可以成功地从 domainC 查询 domainA 中的 AD SRV 记录,反之亦然。
我不了解跨林信任中的域传递性吗?传递性不应该从 domainC 扩展到 domainA 吗?反之亦然?
编辑
根据瑞安的回答:
我已经开始考虑同样的事情,但我没有第一手经验与存在子域的森林信任,所以我不确定我应该看到什么。尽管传递性应该存在于域 A 和 C 之间,但不一定意味着“可见性”。我跑了nltest /dclist,nltest /dsgetdc而且nltest /dnsgetdc并且全部从域 A 成功返回到 C,反之亦然。让我感到困惑的是,当尝试将用户添加到域中的域本地组时,AI 只能在 Locations 中看到域 B 而不是域 C。这可能是预期的行为,但看起来很奇怪。例如,如果我想将域 C 用户添加到域中的远程桌面用户域本地组 AI 无法到达那里,因为我在域 A 的位置中看不到域 C。没有办法“嵌套”a域 B 组中的域 C 用户,然后将域 B 组添加到域 A 组(由于组范围)。因此,如果我想授予域 C 用户登录域 A 中的 RDS 服务器的访问权限,我将如何实现呢?
我相信您在域 C 成员的“登录到”下拉框中看到的是正常行为。该下拉框将仅显示相邻的域(不包括传递性),但这不应阻止您使用用户名 DomainA\joeqwerty 或 joeqwerty@DomainA 登录到 DomainC 成员。如果您在使用 DomainC 的计算机时能够在下拉框中看到 DomainA 对您来说非常重要,那么您可以使用快捷方式信任来实现这一点。
这份文件有一些很好的智慧:
http://technet.microsoft.com/en-us/library/cc773178(v=WS.10).aspx
如,
编辑
根据您的编辑:
这可能是迂腐的,但我个人根本不会将用户添加到远程桌面用户域本地组。我只会在其中嵌套安全组,而不是单个用户/帐户。下面链接到的 TechNet 文章还建议使用和嵌套基于角色的访问控制安全组作为最佳实践,而不是将个人权限分配给资源。
无论如何,从下面的 TechNet 链接:
和,
要记住的另外两件事可能有助于您实现此目标,即组策略受限组将所需组添加到远程桌面用户,以及“允许通过终端服务登录”用户权限。
您可能无法通过传递信任以图形方式浏览其他林中的帐户,但只需输入完全限定的帐户名称,例如
[email protected]orDomainA\GroupInDomainA等。更多资源:
http://technet.microsoft.com/en-us/library/cc772808(v=WS.10).aspx
http://technet.microsoft.com/en-us/library/cc776499(v=ws.10).aspx