问题
在同一个域内,成员服务器根据Active Directory中的用户账号,可以很容易地把资源分配给域内的用户。
但一个域的作用范围毕竟有限,有些企业会用到多个域,那么在多域环境下,我们该如何进行资源的跨域分配呢?
解决方法
1.镜像账户
如何把A域的资源分配给B域的用户呢?
方法:在A域和B域内各自创建一个用户名和口令都完全相同的用户账户,然后在B域把资源分配给这个账户后,A域内的镜像账户就可以访问B域内的资源了。
存在问题:账户的重复建设等
2.创建域信任关系
1.域信任关系是有方向性的,如果A域信任B域,那么A域的资源可以分配给B域的用户;但B域的资源并不能分配给A域的用户,如果想达到这个目的,需要让B域信任A域才可以。
2.如果A域信任了B域,那么A域的域控制器将把B域的用户账号复制到自己的Active Directory中,这样A域内的资源就可以分配给B域的用户了。从这个过程来看,A域信任B域首先需要征得B域的同意,因为A域信任B域需要先从B域索取资源。
域信任关系
域的信任关系的主动权掌握在被信任域手中而不是信任域。
A域信任B域,意味着A域的资源有分配给B域用户的可能性,但并非必然性!如果不进行资