Я установил новый домен (названный «b»), который доверяет нашему старому домену (названному «a»). Это одностороннее доверие, которое позволяет пользователям из «a» входить в систему и проходить аутентификацию в домене «b» с учетными данными своего домена «a». Проблема, с которой мы сталкиваемся, заключается в том, что мы не можем добавлять группы «a» и пользователей в группы домена «b». В AD при попытке добавить группы / пользователей в локации отображается только домен «b». Однако, если мы создадим общую папку на компьютере в домене «b», мы сможем добавлять группы и пользователей из домена «a» без каких-либо проблем, и эти пользователи смогут получить доступ без каких-либо проблем.
Домен «a» содержит два контроллера домена server 2003 и один Windows 2000. Домен «b» содержит один контроллер домена server 2008 и один RODC server 2008.
Функциональный уровень леса в домене «a» равен 2000, а функциональный уровень леса «b» - 2008.
Как мы можем добавить группы / пользователей из домена «a» в группы в домене «b»? Возможно ли то, что мы пытаемся сделать, даже с учетом текущей инфраструктуры / конфигурации?
Спасибо заранее за любую помощь.
Вероятно, вы пытаетесь использовать группу, у которой нет надлежащей области видимости для просмотра членов из доверенного домена.
Если это доверие между лесами, единственный тип группы, которую вы сможете использовать для назначения пользователям из домена b разрешений в домене «a», - это локальный домен.
Если это не доверие между лесами, вы можете использовать локальный или универсальный домен.
У Microsoft есть хороший Статья Technet о группе.