我是相当新的Windowspipe理(Server 2008r2),但我在一个新的环境,并设置活动目录域。
我已经把我的系统分成两部分,pipe理(mgt)和运营(ops)。 他们都是同一个系统的一部分,但他们的可用性需求有点不同。
我决定打电话给我的系统“vmnet”。 我创build了2个域,vmnet.ops和vmnet.mgt。
我认为这些将是完全独立的域名,就像.com和.org网站一样。
不幸的是,当我在vmnet.mgt上configuration一个文件共享时,我意识到vmnet.ops上的一个同名用户不需要input凭据来访问共享。
所以:1)一个mgt域服务器上的文件夹通过windows共享共享给[email protected]。 2)login到ops域工作站([email protected]),并尝试访问共享文件夹。 3)它让我在没有凭据input。 4)从vmnet.ops框中查看共享文件夹权限,它表示它与[email protected]共享5)从vmnet.mgt机器看实际的共享文件夹,它声称它只与jake @ vmnet.mgt。
这里似乎有重叠。 不同的领域,应该有完全不同的UID? 没有重叠? 或者我搞砸了,vmnet.ops和vmnet.mgt是相同的域,并且.mgt / .ops是不相关的?
如果每个域中有一个jake用户使用相同的密码,则来自一个域的jake将能够访问另一个域上的共享,因为密码是相同的。 它是这样工作的:
如果jake @ domain1正在访问domain1中的资源,则不会将密码发送到托pipe资源的系统,因为jake在login到域时获得安全令牌,并且使用安全令牌获取访问权限。
如果jake @ domain1正在访问不在domain1上的资源(即,在domain2中,或者不在域中的系统),则会将jakes用户名和密码传递给另一个系统,并且如果凭据匹配jake用户在该域或计算机上,那么杰克将获得访问这些资源。