在我的公司我们有一个非常复杂的基础设施。
我们来自一个子公司,我们有一个Active Directory域,在我们的PC上configuration。 否则,我们所有人都有一个主要公司的目录帐户,用于访问主要公司的一些资源和网站,另一个目录帐户用于从其他子公司获取一些资源。
我们的子公司域名不属于公司的主要域名,也不能更改,我们不能启用域名之间的信任关系,更改主公司资源,企业策略:(
我们链接要做的是创build某种浏览器组件或Windows服务,将公司帐户映射到主公司帐户,因为计算机用户在访问资源时不必input主公司凭据(所有主要公司资源都使用Windowsauthentication)。
我们不能使用影子会计,因为用户名不一样。
我看到Windows 7中的在线ID提供程序function,我不知道我们是否可以在浏览器上使用Windows身份validation来映射不同的帐户。
你们中的任何一个人都知道我们可以从哪里开始? 或者针对这个问题的某种解决scheme? 感谢所有
AD联合身份validation服务是一种将X域用户访问Y域资源的方式,无需信任。 它可能不符合你的所有要求,但它只是唯一可以接近的事情。
推荐的方法是build立适当的信任关系,以便安全和方便地访问。
您可以考虑build立单向/双向信任关系(基于您的身份validation需求),或者,如果您希望保持自主权和隔离,则可以考虑将每个域转换为自己的林,然后build立跨林信任。
如果您不希望对ADdevise进行任何此类更改,则可以使用AD的联合服务来启用这两个域之间的安全访问。