Требует ли одностороннее доверие AD прав администратора в обоих доменах?
Скажем, я администратор домена A, и я хочу предоставить пользователю из домена B доступ к материалам в домене A, к которым они могут подключиться через VPN. Насколько я понимаю, это можно сделать, установив доверие, но требуется ли для этого быть администратором обоих доменов?
Единственные разрешения, которые вам нужны для входящее доверие должен быть членом Incoming Forest Trust Builders
.
Этого также можно достичь с помощью групп с более высокими разрешениями Enterprise Admins
или Domain Admins
в корневом домене леса.
Для исходящее доверие вам нужно иметь один из Enterprise Admins
или Domain Admins
в корневом домене леса.
Итак, чтобы резюмировать, trusting
домен требует больше разрешений, чем trusted
домен, но самый простой способ сделать это - использовать либо Enterprise
или Domain
админы с обеих сторон.
База знаний "Создание доверия леса" дает немного информации по этому вопросу.