Назад | Перейти на главную страницу

Рабочие станции AD с доверительным входом в систему через лес

Наше бизнес-подразделение было выкуплено внешней организацией.

Мы используем 2008 R2 AD, они работают под управлением 2012 AD, домены не присоединены и не являются доверенными.

У них есть серверы, включая контроллеры домена, в центре обработки данных их головного офиса (домен A).

Здесь у нас есть контроллер домена (домен B). Теперь нас считают заграницей из штаб-квартиры (область А).

Оба сайта связаны через VPN, и все серверы могут связываться друг с другом, на самом деле они создали DC для работы в нашем офисе, который находится в нашей сети (но в настоящее время не взаимодействует с DC домена B, он синхронизируется с основным доменом A DC через VPN).

Вопрос - Что нам нужно сделать (на рабочих станциях и серверах), чтобы:

  1. Разрешить пользователям из штаб-квартиры домена A входить в систему на рабочих станциях в их новом зарубежном офисе (рабочие станции, присоединенные к домену B) с их обычными учетными данными домена A.

  2. По-прежнему разрешить существующим пользователям домена B входить в систему и использовать свои рабочие станции как обычно (существующие учетные записи Active Directory домена B могут использовать рабочие станции домена B, как и раньше)?

Если используется траст, должно ли оно быть односторонним или двунаправленным? Это просто случай добавления доверия и все, или нужно что-то настраивать на рабочих станциях или групповой политике?

Джо получил правильный ответ (и должен был опубликовать его как ответ).

Вам понадобится как минимум одностороннее доверие, при котором домен B будет доверять домену A. Таким образом, пользователи домена A смогут входить на рабочие станции домена B (требование 1).

Доверие никоим образом не повлияет на то, как пользователи домена B продолжат входить на рабочие станции домена B, поэтому вам не нужно ничего делать для выполнения требования 2.

Вы должны прочитать об этом, а также начать переговоры с ИТ-отделом компании, которая купила ваше бизнес-подразделение, чтобы определить текущие и долгосрочные бизнес-требования. Чтобы избежать возможной путаницы, вот важная информация по теме.

  1. Вы не можете добавить свой домен в их лес.
  2. Для входа пользователей домена B на рабочие станции домена A требуется двустороннее доверие, это не заявленное требование, а вероятный следующий вопрос.
  3. Вы можете перенести рабочие станции, серверы и пользователей (и другие вещи, такие как Exchange, Sharepoint и т. Д.) Из своего домена в их лес, используя ADMT или сторонний инструмент.

Изменить - Джо также хорошо замечает, чего ожидать от поведения re: GPO. На самом деле, как я сказал выше, вам следует провести серьезное исследование по этому поводу. Есть всевозможные последствия, как технические, так и организационные, особенно если вы работаете в бизнесе, который подпадает под какие-либо правила конфиденциальности - PCI, HIPAA, SOX и многие другие.