环境:一个不受本地pipe理员pipe理的AD域(无法编辑,无法添加GPO等)用户在这里有帐户。 调用此AD alpha这个AD Alpha对本地pipe理员pipe理的本地AD域(称之为Zeta)有信任。 包含计算机帐户。 有可访问的networking共享
目标:使用AD Alpha的用户帐户和AD Zeta计算机帐户来设置AD Zeta的networking共享文件夹的权限以进行文件夹访问。
原因:为了确保当使用来自Alpha的凭证的用户访问Zeta上的共享时,他们只有在他们也正在从工作时间内通常使用的计算机访问共享的情况下才能这样做。
示例:用计算机Alogin的用户A =授予访问权限用户A使用计算机loginB =无访问权限
用户B使用计算机loginB =授予访问权限用户B使用计算机loginA =无权访问
我不相信有什么办法可以做到这一点,就像你用本地工具描述的那样。 NTFS(和共享)权限分配给用户,而不是用户的networking会话来自计算机。 您可以在Zeta服务器上使用IPSec或Windows防火墙,只允许来自计算机A的CIFSstream量,但是根本没有其他计算机可以连接到Zeta。
我认为你主要是运气不好。 如果计算机A被重新映像或获得了新的dynamicIP地址或简单退休,那将是一大痛苦。 你为什么害怕电脑B? 这通常将需要在域阿尔法。 而且,既然你允许域之间的所有types的networkingstream量(我假设他们共享一个局域网?),你没有真正阻止任何计划的scheme,你不会容易受到攻击。