使用现有的AD域(company.net),我们需要添加一个具有单向信任的子域(untrusted.company.net)。 在我的实验室进行testing,以及我所做的Googlesearch似乎表明,这是不可能实现的,因为在创build子域时build立了默认的不可更改的双向信任关系。
有谁知道一个方法来实现这个目标?
我知道我可以创build一个单独的森林,但是这已经被我的老板扼杀了。 我公司的pipe理人员(嘘…嘘..)要求这是一个真正的子域。
详细信息:现有域名和森林是2008年r2 SP1机箱的2008年function级别。 子域将在2008 R2 SP1上,并将从2008年的function级开始。
如果域不在不同的森林中,那么交叉森林信任关系在定义上是不可能的。
您需要与经理进行良好的交谈,并解释这两个要求相冲突。
子域有一个内置的双向传递信任。 你不能修改这个行为。 如果您需要安全边界,那么您需要单独的森林。
单独的域创buildpipe理界限。 分开的森林创造安全边界。