我们存在于一个大企业(有一个活动目录,显然我们不能获得pipe理员权限),并想为我们的开发部门设置一个本地Active Directory。
这个问题是我可以向企业AD人员呈现的一个案例的一部分,它确定我们需要从他们那里得到什么。 如果没有他们自己的一些行动,我不打算做这个任务。
我们希望能够在本地AD使用我们的企业AD用户。
在本地AD中,我们希望将我们的开发服务器放在其中,其中一些将从黄金映像中提供,并按小时或更快的速度丢弃。
本练习的一部分是我们想要login到本地AD中存在的服务器,并将其用户存在于企业AD中。 使用企业ADauthentication和我们的本地AD作为授权。
这是一个子域或一个单向信任的外部域?
任何人都可以教我一点,也许有一些关于如何设置实验室的想法,以便我们可以在没有pipe理员权限的情况下testing企业AD。
我会select一个单向的森林信任。 您也可以使用外部信任,但是一些狭义的情况下不能正确使用外部信任,但是可以与森林信任一起工作。 根据你在做什么,可能需要在生产林中进行一些调整,以使名称parsing工作(存根区域/ dns后缀search顺序)。
由于testing环境通常具有安全风险,并且森林是安全边界,所以子域不是一个好的select。 (子域信任是可传递的)。 单向信任确保不能从testing环境访问生产林。