AD entre estações de trabalho de logon de confiança de floresta

Navegue suas respostas
2

Nossa unidade de negócios foi comprada por uma entidade externa.

Estamos executando o 2008 R2 AD, eles estão executando 2012 AD, os domínios não são unidos ou confiáveis.

Eles têm servidores, incluindo controladores de domínio em seu data center da matriz (domínio A).

Temos um controlador de domínio aqui (domínio B). Somos agora considerados no exterior a partir do QG (domínio A).

Ambos os sites são vinculados através de uma VPN e todos os servidores podem entrar em contato. Na verdade, eles criaram um DC para funcionar em nosso escritório que está em nossa rede (mas não fala com o DC do domínio B domínio primário A DC sobre a VPN).

Pergunta - O que precisamos fazer (em estações de trabalho e servidores) para:

  1. Permitir que usuários do domínio A HQ façam login em estações de trabalho em seu novo escritório no exterior (estações de trabalho integradas ao domínio B) com suas credenciais de domínio normal A

  2. Ainda permite que os usuários existentes do domínio B efetuem login e usem suas estações de trabalho normalmente (as contas de diretório ativo do domínio B existente podem usar as estações de trabalho do domínio B como antes)?

Se usar uma confiança, isso precisa ser de direção única ou bidirecional? É apenas um caso de adicionar uma confiança e é isso ou alguma coisa precisa ser configurado em estações de trabalho ou política de grupo?

    
por g18c 23.11.2014 / 20:34

1 resposta

6

Joe tem a resposta certa (e deveria ter postado como resposta.)

Você precisará de pelo menos uma relação de confiança unidirecional, com domínio A confiando no domínio A. Dessa forma, os usuários do domínio A poderão efetuar login nas estações de trabalho do domínio B (requisito 1).

Uma relação de confiança não afetará, de forma alguma, como os usuários do domínio B continuam a fazer login nas estações de trabalho do domínio B, portanto você não precisa fazer nada para o requisito 2.

Você deve ler sobre isso e também começar a conversar com o departamento de TI da empresa que comprou sua unidade de negócios para determinar os requisitos de negócios imediatos e de longo prazo. Para evitar alguma confusão potencial, aqui estão algumas informações relacionadas importantes.

  1. Você não pode adicionar seu domínio à floresta deles.
  2. Uma confiança bidirecional é necessária para que os usuários do domínio B efetuem login nas estações de trabalho do domínio A, não um requisito declarado, mas uma provável próxima pergunta.
  3. Você pode migrar estações de trabalho, servidores e usuários (e outras coisas, como o Exchange, o SharePoint, etc.) do seu domínio para a floresta, usando o ADMT ou uma ferramenta de terceiros.

Editar - Joe também faz uma boa indicação sobre o que esperar do comportamento re: GPO. Realmente, como eu disse acima, você deve fazer uma pesquisa séria sobre isso. Há todo tipo de implicações, técnicas e organizacionais, especialmente se você estiver em uma empresa que se enquadre em qualquer tipo de regulamentação de privacidade - PCI, HIPAA, SOX, muitas outras.

    
por 23.11.2014 / 21:22

Tags

Erro de atualização do YUM Por que meu timestamp de log de acesso do Apache às vezes retrocede?