服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 在合资伙伴之间共享networking的最佳途径
Intereting Posts
logging和日志查看工具的云? Winscp可以安装在窗口服务器2008上吗? 使用SCCM 2012分发点作为iPXE的文件服务器 在eth接口上configurationip,subnet和gateway 启用网关仅用于已validation的客户端 增加了新的驱动器,以错误的格式突袭5,然后删除它们,并打破突袭5 硬盘在RAID 1迁移。 SmartArray P410i到SmartArray P420i 使用Linux(Ubuntu)live cd来读取硬件RAIDarrays iptables -L是否按执行顺序显示规则? 捕获URI的一部分,并用它在Nginx中进行条件重写 梭子鱼标记电子邮件与“date粗暴地在将来”。 Kerberos和本地主机 使用SuSEfirewall2或iptables规则redirect本地请求,而不是内部请求 我可以使用硬盘启动QEMU guest虚拟机上的CD-ROM吗? 如何在安装nginx时解决Openssl Package错误

在合资伙伴之间共享networking的最佳途径

背景
我们公司最近join了一家合资企业 ,我们是合伙人。 作为pipe理合作伙伴,我们负责networking设置和支持。 这个合资企业只有一份工作,双方都不希望其他合作伙伴有权访问其余的现有networking。

我们需要共享来自ADnetworking,VOIP电话系统,打印机和一些SQL服务器的文件。 计划是将所有共享资源物理放置在相关站点,并让合资伙伴login到我们的AD,以便对共享资源进行身份validation。 每个合资伙伴都有现有的ADnetworking,这些ADnetworking将通过此共享站点的VPN隧道进行访问。 每个合资伙伴将继续保留其现有的电子邮件和现有的股份,从他们的家乡网站。

这两个合作伙伴目前都在运行WindowsXP的Win2003R2商店,并计划在未来6个月内推出Windows7。 SQL服务器是版本2005。
这个网站将被激活约4年。

质询
我们怎样才能让我们的合作伙伴login到我们的广告,但阻止他们访问除了网站上的其他服务器?
我们如何设置这样的话,让每个合作伙伴的IT部门都可以pipe理本地工作站,而不需要对我们的AD有任何pipe理权限?
目前,我们正在从下面的networking图工作。 通过使用VLAN,我们可以防止每个合作伙伴遍历其他人的VPN链接,并允许访问共享资源,但是这种设置不允许每个合资伙伴pipe理他们自己的工作站和用户。

我们一直在徘徊的其他想法是:

  • 在合资伙伴之间build立双向信任关系,允许每个合作伙伴pipe理他们自己的用户和机器。 这个有什么优缺点? 这个信任有多远?
  • 创build一个新的域,并设置每个原始域的单向信任。 这个有什么优缺点?

网络图

回复:“我们如何让我们的合作伙伴login到我们的广告,但是阻止他们访问除网站上的其他服务器之外的任何其他服务器?

我强烈build议您明确地为合资企业创build一个AD 森林 。 与合资企业成员现有的AD基础设施创build单向不敏感的森林信托。 使用select性DNS转发,将JV的DNS维护在由JV服务器托pipe的安全AD集成DNS区域中。 这使得合作伙伴从您自己的服务器“保持联系”。 这两个合作伙伴应该明确地将共享数据/应用程序/服务器放置到共享区域。 将现有的AD用于“共享区域”可能会为您节省一些许可费用,但不值得增加风险和复杂性。

回答:“我们如何设置这样做,以便每个合作伙伴的IT部门都可以pipe理本地工作站,而无需在我们的AD上拥有任何pipe理员权限? 和“目前我们正在从下面的networking图开始工作,通过使用VLAN,我们可以防止每个合资伙伴穿越他人的VPN链接,仍然允许访问共享资源,但是这种设置不允许每个合资伙伴pipe理他们自己的工作站和用户“。

我不确定我是否明白 我明白你的意思了:把合作伙伴的networkingstream量隔离开来,但我没有跟随其他的。 合资企业成员是在自己的AD森林还是合资企业森林中拥有用户和计算机账户? 这个我不清楚。 我希望合资企业成员在自己的AD森林中维护他们的用户和计算机帐户,并通过合资企业林中的成员资格授予对合资共享资源的访问权限。

喔! 我想我明白了。 在这个“网站”,会有一些客户端计算机由两个合资成员共同工作的用户共享! 我对吗?

您可以通过多种不同的方式处理这些“共享”计算机。

我可能会将计算机join合资企业AD域,但您可能不会。 客户端电脑的所有权可能会决定我如何处理。 如果客户端计算机仍然与每个合资企业成员,那么我想我会join他们的合资企业成员的AD域。

使用来自JV成员域(以及JV AD域本身)的JV AD域用户帐户的客户端计算机可以用于login到客户端计算机(因为从JV AD森林到成员的AD森林)。

请注意,将“每个成员的AD林”中的只读域控制器放置在“共享站点”上将会很有帮助。 如果客户端计算机已join合营公司AD林,则计算机组策略将来自合资企业林。 但是,用户组策略将来自成员的AD森林,因此拥有本地DC将有所帮助。 如果客户端计算机join到成员的AD森林中,那么很显然,从每个成员的森林中获得一个本地DC是很好的。

合资企业AD森林中的控制权授权可以用来为合资企业成员的IT人员提供合资企业AD森林本身所需的任何能力。 可以使用组策略“受限制的组”来授予合资企业成员的IT员工对join合资企业AD域的“其”客户端计算机的pipe理权限。 (保留在成员的AD森林中的客户端计算机是一个争议点。)

“build立合资伙伴之间的双向信任,并允许每个合作伙伴pipe理他们自己的用户和机器,这有什么优缺点?这种信任有多远? 和“创build一个新的域名,并设置每个原始域名的单向信任,这到底有什么好处呢?”

Windows“信任关系”本身不允许访问任何东西。 看看这个声明:“域A信任域B.”

现在,将“信任”一词replace为“允许在权限用户,组和计算机中的名称”这一短语replace为:“域A被允许在来自域B的用户,组和计算机的权限中进行命名”。

“信任”不授予访问权限,它允许您授予访问权限 。 如果您有一个专用的合资企业林,您希望它具有与合作成员的AD森林的外部不灵敏单向信任,以便合资企业成员林中的用户和组可以以权限命名或join到合资公司的森林。 这将允许每个JV成员的用户和计算机帐户在该成员自己的AD林中进行pipe理。 通过使用位于合资企业林中的组来控制对合资资源的权限,合资企业可以有效地pipe理访问合资资源的权限。

根据我对你情况的理解,你不会希望在任何情况下有双向的信任。 我是否正确地认为,任何一个合资企业成员都不能从另一名成员的用户,组或计算机中获得相应的权限? 这听起来似乎不会有两个合资企业成员所拥有的服务器上共享的资源,所以互信是没有必要的。 话虽如此,双向信任只允许授予访问权限,实际上并不授予任何访问权限。

几年前,我在一个地方性的协会和几个医生团体之间有一些类似的项目。 在他们的情况下,他们为合资企业创造了一个专门的AD森林,但并没有与现有的合资企业成员的基础设施build立信任关系。 我们最终在合资企业成员的本地AD和合资企业AD中获得了重复的凭证。 那是我在他们的networking中看到的最大的“疣”,我将来会避免的。

我看到你正在施工。 我有一位为大型build筑项目进行联系工程和项目pipe理的客户,并且常常在位于客户站点的现场办事处(也称为“拖车”)上工作多年的客户。 我还没有遇到这样的情况:客户或其他承包商对项目的要求达到了您所要求的细节水平,但是我上面提到的情况是,如果发生这种情况,我会如何去追求。 less数Windows Server许可证和计算机为合资企业AD(以及成员现场只读数据中心)托pipe域控制器的费用在4年内不会被分摊太多,并且为进行共享创build了一个非常稳固的基础操作。