我有两个Win2k8森林,我维护。 这两个森林有完整的双向外部,彼此不可传递的信任。
我在林X中有一个文件夹,域countryX.mycompany.com只能由名为$ group的全局安全组访问。
在Y森林中,域countryY.mycompany.com,countryY \ user1,countryY \ user2等需要访问该文件夹。
自然的本能是把user1,user2等放到$组中。 但是,将用户添加到组中的方法都不起作用,因为看起来AD在其他林中找不到组。
问题:1.如何让森林看到对方的安全团队,并能够添加? 2.实际上,build议用户访问其他林中的文件夹/文件的方式是什么?
不同的组types在多领域和多森林环境中具有不同的“可见性”,正如您发现的那样( Microsoft可以提供更多的细节 )。 例如,“全局组”仅在其所在的域内“可见”,并且只能包含来自该域的用户(由于成员用户的安全标识符的存储方式)。
微软的最佳实践准则如下:
在每个域中创build一个全局组,以包含来自该域的与作业angular色相对应的成员
使用要控制的资源在域中创build域本地组,并将域本地组权限授予资源
将每个域的全局组embedded到域本地组中
在某些情况下,通用组也可以发挥作用(当要pipe理的资源通常分布在多个域中时)。
有一些很好的(虽然,W /有趣的长宽比)图片在这个微软TechNet论坛线程 ,可以给你一些背景。 我也build议看看维基百科文章的forms一些更多的背景,以及。
希望我可以直接为你回答这个问题,但是有一些信息需要先为你自己澄清。 仔细阅读这些问题和链接,我相信你将能够获得跨森林权限的工作。
最后,这里是TechNet上的一个很好的资源: 了解多森林权限 。