我们的业务部门已被外部实体收购。
我们正在运行2008 R2 AD,他们正在运行2012 AD,域未join或信任。
他们的总部数据中心(域A)有服务器,包括域控制器。
我们在这里有一个域控制器(域B)。 我们现在从总部(A领域)被视为海外。
两个站点都通过一个VPN连接,所有的服务器可以互相联系,实际上他们build立了一个DC在我们的networking办公室运行(但是目前没有和域B的DC通话,它同步到它的主域A DC通过VPN)。
问题 – 我们需要做什么(在工作站和服务器上):
允许来自域A总部的用户使用其常规域A证书login到其新的海外办事处(域Bjoin工作站)的工作站
仍然允许现有的域B用户像往常一样login和使用他们的工作站(现有的域B活动目录帐户可以像以前一样使用域B工作站)?
如果使用信任,这需要单向或双向? 仅仅是添加一个信任的情况,这是否或者需要在工作站或组策略上configuration什么?
乔得到了正确的答案(应该把它作为答案发布)
您至less需要一个单向信任,域B信任域A.这样,域A用户可以login到域B工作站(需求1)。
信任不会以任何方式影响域B用户如何继续login域B工作站,因此您不必为要求2做任何事情。
您应该仔细阅读,并开始与购买您的业务部门的公司的IT部门进行交stream,以确定即时和长期的业务需求。 为了防止一些潜在的混淆,这里有一些重要的相关信息。
编辑 – 乔还提出了一个很好的观点:GPO的行为。 真的,正如我上面所说,你应该对此做一些认真的研究。 有各种各样的暗示,技术和组织,特别是如果你在一个企业,属于任何types的隐私法规 – PCI,HIPAA,SOX,许多其他人。