У меня концептуальный вопрос:
Я управляю учетными записями пользователей для доступа к локальной сети с помощью Active Directory (назовем эту сеть A). Мы используем внешнего поставщика услуг для учетных записей электронной почты, который также использует Active Directory для управления учетными записями (сеть B).
В этой конфигурации каждый пользователь получает два имени пользователя: одно для локальной сети (A) и одно для электронной почты (B). Назовем имена пользователей DOMAIN_A\username и DOMAIN_B\username.
Мне было интересно, могут ли эти имена пользователей быть unified создавая доверительные отношения между двумя серверами Active Directory? Это возможно? Кажется, прямо сейчас, что цель доверительных отношений AD состоит только в том, чтобы позволить пользователям из сети B аутентифицироваться в их домашнем AD, находясь в сети A. Позволяют ли доверительные отношения также connect / map Учетные записи AD в разных сетях (разные AD), так что использование одного имени пользователя будет регистрировать пользователя как в сети A, так и в сети B? То есть, используя DOMAIN_A\username Как долго я могу войти как в ресурсы сети A, так и в ресурсы сети B? Если это действительно возможно, как вам настроить сопоставление между DOMAIN_A\username и DOMAIN_B\username? Два AD не смогут угадать, какие имена пользователей принадлежат одному и тому же пользователю.
РЕДАКТИРОВАТЬ: этот интернет сайт может быть решение. Однако мне это пока непонятно.
Эта ссылка, которую вы разместили, может работать, но вы должны четко понимать это:
Нет такой вещи, как слияние / присоединение / объединение / любые учетные записи Active Directory - это то же самое, если в одном домене, одном лесу, нескольких доменах, нескольких лесах с доверительными отношениями и т. д. и т. д.
В вашем случае учетная запись в сети A всегда взаимоисключающие для учетной записи в сети B - даже если они должны использовать одно и то же имя пользователя.
Это может помочь, если вы всегда думаете об имени пользователя в терминах «DOMAINA \ Username» и «DOMAINB \ Username» - теперь вы должны увидеть, как эти два значения всегда будут разными.
Что касается Exchange, у вас есть почтовый ящик, принадлежащий DOMAINB \ john.smith - используя эту ссылку, вы настраиваете разрешения, чтобы DOMAIN \ smith.john мог получить доступ к учетной записи. Точно так же, как в одном домене, вы можете предоставить менеджеру доступ к чьей-либо электронной почте.