В нашей организации есть два леса Active Directory, A и B, без каких-либо доверительных отношений между ними. Теперь нам нужна установка Sharepoint 2010, которая позволяет пользователям из обоих доменов входить в систему.
ИТ-специалисты упоминают, что доверительные отношения между двумя лесами являются нарушением безопасности, поскольку они не могут обеспечить изоляцию данных / услуг. Это верно? Можно ли настроить это без доверительных отношений между двумя лесами?
Создание доверительных отношений дает вам возможность авторизации и / или запрета доступа пользователям и группам из нового домена. Доверительные отношения не гарантия доступ ко всему для всех в новом домене.
Имейте в виду, что встроенные группы «Прошедшие проверку» и «Все» делать включать пользователей из других доверенных доменов, а «Пользователи домена» - нет. Если ваши сетевые разрешения изначально были настроены правильно, это не вызовет никаких проблем.
Если у вас или у ваших ИТ-коллег есть какие-либо сомнения, настройте тестовую учетную запись в доверенном домене и используйте ее, чтобы убедиться, что доступ запрещен там, где вы ожидаете, что он будет запрещен.