Есть домен U с пользователями и домен R с ресурсами. Мне нужно запустить приложение IIS на машине из домена R от имени конкретного пользователя из домена U (эта учетная запись из U используется для аутентификации NTLM внешними веб-службами).
Я попробовал следующий тест для имитации среды Prod: создал два независимых корневых леса домена, создал исходящие доверительные отношения из домена R в домен U, но для достижения успеха я заставил создать входящие доверительные отношения в домене U с использованием общего пароля (в тестовой среде у меня есть Эта возможность, но у меня нет в PROD.) Ниже представлена конфигурация исходящих доверительных отношений, которые, как я надеялся, решат проблему, но этого не произошло:
Этот домен: R Указанный домен: U Направление: Исходящие: Пользователи в указанном домене могут проходить аутентификацию в локальном домене. Тип доверия: Внешнее Транзитивное: Нет Уровень проверки подлинности исходящего доверия: Проверка подлинности на уровне домена. Стороны доверия: создать доверие только для этого домена.
Возможно ли и как установить односторонние исходящие доверительные отношения для ресурсов домена R без каких-либо согласований в домене U с пользователями? То есть домен U не должен знать о таких доверительных отношениях. В тестовой среде у меня есть возможность действовать в AD домена U, но у меня нет учетных данных для установления доверия на PROD. Я думаю, это должно быть правдоподобно - если я доверяю кому-то что-то сделать с моими ресурсами, зачем мне получать его одобрение. Может быть, только потому, что я возлагаю на него ответственность выполнять такую деятельность.