我在一家小公司工作,由一个更大的公司。 我在我母公司的域中有一个用户: DomainA\MyUser 。
现在我们已经购买了我们自己的服务器,并希望自己的域名 我在新域中创build了一个用户,其用户名与旧用户名DomainB\MyUser 。 此用户是DomainBnetworkingpipe理员。
我的电脑仍然在DomainA 。 当我以DomainA\MyUser身份login时,我在新服务器(即DomainB域控制器,未连接到DomainA )上获得了DomainB\MyUser所有权限。
这即使我将DomainB\MyUser设置为不活动。
这怎么可能??
不适用于DomainB禁用用户。 最后当我尝试我忘记杀死用户的所有会话。
截图当我使用远程桌面: http : //www.enalog.se/files/index.html (死亡)
细节:
NEMOQ_AD是旧的域名。 ENALOG是新的领域。
VOLDEMORT是VOLDEMORT的域控制器。 Peter是用户 当我将用户键入MyUser@DomainA ,我无法login。为什么它能与DomainA\MyUser ?
截图中的每个login都是用户ENALOG\Peter ,而不是NEMOQ_AD\Peter 。
您input NEMOQ_AD\Peter域并不重要,因为NEMOQ_AD不是ENALOG信任的域。 (见下文。)
请注意,一旦连接到Voldemort ,您就不会在任何地方看到NAMOQ_AD 。
NTLM支持所谓的传递身份validation 。 文章的重要部分在这里:(重点加)
- 如果指定的域名不受域名信任, 则authentication请求将在所连接的计算机上处理,就好像指定的域名是该域名一样 。 NetLogon不区分不存在的域,不可信域和不正确types的域名。
发生了什么是以下几点:
Voldemort收到一个validation用户NEMOQ_AD\Peter的请求。 Voldemort认为NEMOQ_AD既不是它自己的域名,也不是它所信任的任何域名。 ENALOG\Peter 。 ENALOG\Peter的密码(如您在另一条评论中所述),validation成功。 在访问驱动器共享时,必须使用传递身份validation来使用NTLM(任何使用Kerberos的尝试都将失败,因为ENALOG不信任NAMOQ_AD ),从而允许您在不input密码的情况下访问networking共享。 这仅适用于在两台机器上使用相同密码的同名帐户。
当您使用远程桌面时input密码时,其行为与您尝试以ENALOG\Peter而不是NEMOQ_AD\Peterlogin一样,并使用您input的任何密码。这样,如果您键入Peter作为用户名,本地计算机发送NEMOQ_AD\Peter因为这是它唯一知道的域,但远程计算机决定尝试ENALOG\Peter 。
我假设SQL Server Management Studio正在使用一种策略或另一种策略(可能是第二种策略),我不知道它的实现细节,也没有两个域来testing它。
这是不可能的。 有些东西configuration错误。
你可以说得更详细点吗? 你是什么意思,你有相同的权限? 你是指文件和文件夹的权限? 你是什么意思你把用户B帐户设置为不活动? 没有“不活跃”的东西。 你的意思是你设置的用户帐户禁用?
斯蒂芬·詹宁斯(Stephen Jennings)已经回答了这个问题,但是我只是出于好奇,在这种情况下单独领域的原因是什么?
有很多很好的理由,但通常维护多个域名是一件麻烦事,听起来不像任何人能够pipe理它,而是创造与维持多个域名相关的典型开销。
为什么不将新服务器整合到现有的域中,使用configuration将资源限制在贵公司。 你需要访问母公司的资源吗? 母公司pipe理员不信任?