У меня есть старый устаревший сервер домена Windows 2000 с устаревшим именем.
Я создал новый сервер домена Active Directory Windows 2008 R2. Что я хочу сделать, так это предоставить общий доступ к каталогу на новом сервере домена и позволить всем, кто все еще входит в старый домен, иметь доступ к этому общему каталогу.
Прямо сейчас, хотя в Windows 7 требуется, например, выбрать опцию «доступ от имени другого пользователя» при попытке доступа к диску, а затем очистить имя пользователя и пароль.
Идея состоит в том, чтобы перемещать каждый компьютер, поскольку я могу к нему добраться, и пока я не доберусь до компьютера, чтобы переместить его из старого домена в новый домен, пользователи все еще могут получить доступ ко всем своим сетевым файлам, которые уже были перемещены в новый сервер в новом домене.
Настройте исходящее доверие на сервере 2008 http://technet.microsoft.com/en-us/library/cc816738%28WS.10%29.aspx Как только это доверие будет установлено, вы можете предоставить пользователям старого домена права на эту папку.
Для этого сначала необходимо настроить переадресацию DNS. Итак, войдите на каждый сервер и настройте переадресацию, чтобы указать другой суффикс домена на другой DNS-сервер.
Вы также можете попробовать установить двустороннее доверие вместо исходящего доверия. После этой настройки вы можете использовать ADMT для переноса компьютеров в новый домен (вместо того, чтобы переходить к каждому из них по отдельности).
Я собираюсь сказать примерно то же самое, что и Джейсон Берг, но я собираюсь уделить больше внимания части DNS, потому что ничего из этого не будет работать без хорошего разрешения DNS как на серверах, так и на клиентских компьютерах в Windows. 2000 Active Directory и контроллеры домена в домене Windows Server 2008 Active Directory.
Если вы можете создать ситуацию DNS, которая позволяет клиентским и серверным компьютерам в домене W2K разрешать имя компьютера (ов) контроллера домена W2K8, то вы можете приступить к созданию доверительных отношений и упростить миграцию домена.
Надеюсь, вы размещаете DNS на своем компьютере с контроллером домена Windows 2000 Server, и, надеюсь, это то, что ваши клиентские компьютеры используют для DNS. К сожалению, DNS-сервер Windows 2000 не позволяет условную пересылку неавторизованных зон на другой DNS-сервер, как это делает DNS-сервер Windows Server 2003. Если ваш DNS-сервер W2K8 может разрешать Интернет-имена, просто установите DNS-сервер W2K8 в качестве «сервера пересылки» на DNS-сервере W2K. Если нет, то вы можете подумать о создании дополнительных зон для домена W2K8 и его дочернего домена «_msdcs» на DNS-сервере W2K (но это требует больше работы).
На стороне W2K8 просто создайте условную переадресацию для имени домена W2K на DNS-сервер W2K, и вы в деле.
После того как вы сможете разрешить полные доменные имена доменов и контроллеров домена в другом домене от контроллера домена в обоих доменах, вы можете приступить к созданию доверительных отношений.
Как говорит Джейсон Берг, одностороннее исходящее внешнее доверие - это то, что вы ищете в домене W2K8. Не пытайтесь создать его, пока не получите хорошее разрешение DNS.
Как только вы это сделаете, вы можете указать пользователей (и, возможно, группы) из домена W2K в разрешениях на домене W2K8. Учетные записи пользователей из домена W2K8 также могут использоваться для входа в систему на клиентских компьютерах в домене W2K (будет применяться групповая политика, указанная в домене W2K8 для пользователей! Вы не можете применить групповую политику компьютера из домена W2K8 к компьютерам, к которым присоединены хотя домен W2K.)
Если вы хотите создать двустороннее доверие и использовать такие инструменты, как ADMT, вы, безусловно, можете. Однако одностороннее доверие поможет вам обозначить принципы безопасности домена W2K в разрешениях в домене W2K8.