Я использую сервер терминальной службы с Windows Server 2012, и у нас есть два терминальных сервера, которые совместно используют NLB, пользователи подключаются к терминалу в DOMAIN1
домен с подключением к удаленному рабочему столу (см. рисунок ниже).
Мне нужно сопоставить сетевой диск для пользователей в терминале с общим ресурсом в другом домене (DOMAIN2
который имеет контроллер домена Windows Server 2003). Я пытаюсь создать GPO в DOMAIN1
через DC1
(контроллер домена для DOMAIN1
с Windows Server 2012), чтобы подключить сетевой диск.
DC1
и DOMAIN2
физически подключены к одной сети.
Как подключить сетевой диск к общему ресурсу в другом домене (DOMAIN2
) на терминалах в основном домене (DOMAIN1
)?
Для этого вы можете использовать расширения групповой политики. (Подключить сетевой диск). Если ваши домены не являются доверенными, вам нужно либо иметь одинаковых пользователей с обеих сторон с одинаковыми паролями, либо вам нужно указать пароль в диалоговом окне сопоставления сетевого диска в объекте групповой политики.
Если это тоже не вариант, вы можете использовать сценарий входа в систему, который выдает net use \\server\path /USER:DOMAIN2\user
который затем запросит пароль у пользователя.
Короткий ответ - вам, вероятно, нужно посмотреть на доверительные отношения между двумя вашими доменами. Если он существует, вы сможете использовать аутентификацию между ними, и «все» будет работать нормально.
Более длинный ответ: когда вы входите в область Kerberos (которая более или менее является доменом Windows), вам выдается билет на предоставление билета - TGT
- вы можете увидеть это на своем хосте, когда запустите klist
. Этот билет используется для предоставления доступа к ресурсам в Домене - вы запрашиваете разрешение на доступ \\servername\sharename
и ваш контроллер домена выдает вам билет доступа.
Когда вы переходите на другой домен, этого механизма не существует - ваш билет недействителен в отношении удаленного домена.
Вы можете либо: войти в систему как пользователь домена в удаленном домене (также получив билеты / аутентификацию из другого источника), либо установить доверительные отношения, чтобы вы являются считается действительным пользователем.