子域login跨森林信任域

我在两个Windows Server 2008 R2域/林(Windows Server 2008 R2上的域和林function级别)之间具有交叉林信任。 域A和B是其各自林中的森林根域,而域C是域B的子域。

A < – >乙 – Visual C

信任是使用全林authenticationconfiguration的双向传递林信任。 当我查看每个域中的TDO对象时,我看到domainB对于domainA和domainC具有TDO,但domainC对于domainB只具有TDO。 domainA同样只有domainB的TDO。 我看到每个域中的Active Directory域和信任都反映了相同的情况。

当在domainC计算机上select“login到”下拉菜单时,我只能看到列出的domainB和domainC。 在domainB计算机上select“login到”下拉列表时,我看到列出了domainB,domainC和domainA。 当在domainA计算机上select“login到”下拉菜单时,我只能看到列出的domainA和domainB。

跨林DNS名称parsing通过domainA和domainB之间的条件转发器在所有三个域之间起作用,并且我可以成功地从domainC中查询domainA中的AD SRVlogging,反之亦然。

我不理解交叉森林信任中的域传递性吗? 传递性不应该从domainC延伸到domainA,反之亦然?


编辑

根据Ryan的回答:

我已经开始思考同样的事情,但是我并没有亲身体验森林信托的经验,因为我们不知道我应该看到什么。 即使域A和域C之间存在变化,但并不意味着“可见性”。 我运行了nltest /dclistnltest /dsgetdcnltest /dnsgetdc并且都从域A到C成功返回,反之亦然。 令我困惑的是,当试图将用户添加到域中的域本地组时,AI只能看到位置B中的域B,而不是域C.这可能是预期的行为,但似乎很奇怪。 例如,如果我想将域C用户添加到域中的远程桌面用户域本地组,则AI不能到达那里,因为我没有在域A中的位置看到域C.没有办法“嵌套”域B组中的域C用户,然后将域B组添加到域A组(因为组范围)。 所以,如果我想授予访问域C用户login域A中的RDS服务器,我将如何实现?

我相信你在域C成员的“login到”下拉框中看到的是正常的行为。 该下拉框将只显示相邻的域(传递不算),但不应阻止您使用用户名DomainA \ joeqwerty或joeqwerty @ DomainAlogin到DomainC成员。 如果您在DomainC中的计算机上时,在下拉框中查看DomainA非常重要,则可以使用快捷方式信任来实现该function。

这个文件有一些相当不错的智慧块:

http://technet.microsoft.com/en-us/library/cc773178(v=WS.10).aspx

如,

信任search限制

当一个客户端search一个信任path时,search仅限于直接与一个域build立的信任关系,以及一个在森林内传递的信任关系。 例如,子域不能在其父域与另一个域中的域之间使用外部信任。 这是因为必须在客户端可以开始按照所请求资源域的path工作之前构build完整的信任path。 Windows Server 2003不支持盲引用; 如果客户端无法识别信任path,则不会尝试访问另一个域中请求的资源。 子域无法向森林之外的安全机构标识外部信任或领域信任,因为代表这些信任的TDO仅在共享该信任的域内发布,而不是在全局目录中发布。 因此,客户不知道他们的域与其父域或子域之外的安全机构共享的信任,因此无法使用它们来访问资源。


编辑

根据您的编辑:

例如,如果我想将域C用户添加到域AI中的远程桌面用户域本地组,则无法到达那里,因为在域A中的位置中没有看到域C.

这可能是迂腐,但我个人不会将用户添加到远程桌面用户域本地组。 我只能在那里嵌套安全组,而不是个人用户/账户。 下面链接的TechNet文章也build议使用和嵌套基于angular色的访问控制安全组作为最佳实践,而不是将个人权限分配给资源。

无论如何,从下面的TechNet链接:

•具有域本地范围的组可以包含以下成员:帐户,具有通用范围的组和具有全局范围的组,全部来自任何域。 该组还可以具有来自同一个域内的具有域本地范围的其他组的成员。

和,

要将来自一个林中需要类似访问权限的用户分组到不同林中相同资源的用户,请创build与全局组angular色相对应的通用组。 例如,在ForestA中,创build一个名为SalesAccountsOrders的通用组,并将全局组SalesOrder和AccountsOrder添加到组中。

还有两点需要注意的是,可以帮助您实现此目标的组策略限制组,以将所需的组添加到远程桌面用户,以及“允许通过terminal服务login”用户权限。

您可能无法以传递信任的方式浏览其他林中的帐户,只需input完全限定的帐户名称,例如[email protected]DomainA\GroupInDomainA等。

更多资源:

http://technet.microsoft.com/en-us/library/cc772808(v=WS.10).aspx

http://technet.microsoft.com/en-us/library/cc776499(v=ws.10).aspx