one way of two-way trust between different domain and user can logon to both

一、测试环境

domain 1 :tech.local    10.29.1.100        operating system: microsoft windows server 2016 standard

domain2 : test.local     10.29.1.200         operating system: microsoft windows server 2016 standard

 

二、首先解决DNS的问题我这里用conditional forward zone 来解决,也可以加正向和反向查找来解决但是有点麻烦。用条件查找一条语句就能搞定。如果有多个DC需要在每台上都执行。

1)首先在tech.local 的DC上操作如下(以管理员身份运行powershell->需要有enterprise权限)运行“PS C:\> Add-DnsServerConditionalForwarderZone -Name "test.local" -MasterServers 10.29.1.200 -ReplicationScope Forest”

回到test.local的DC上同样运行上面的命令,只需要更改域名和masterservers IP address就可以了。

需要验证一下就是从各自的DC上ping 对方的域名。

2)双向信任

On domain controller

Control Panel/Administrative Tools /Active Directory Domains and Trusts/ Properties  click <new trust>

基本上就是一直点下一步就可以要记住输入凭证的密码,两边都做同样的动作并且密码设置成一样就可以了,这个步骤比较简单就不阐述了。

三、用对方域的账号登录的信任的域计算机中

这个比较有意思,DC和域成员计算机的设置是不一样的。需要更改一些组策略如下

1)两边的DC都要执行的组策略是如下图

Administrative templates\system remote procedure call\ Enable RPC endpoint Mapper Client Authentication      Setting must be set to disabled and reboot server.

必须重新启动DC(看来是gpupdate /force不起作用)

2)域成员计算机要执行的策略是

Computer configuration\Policies\Windows Settings\Security Settings\Local policies/security options\Network access\ Network access\Do not allow storage of passwords on credentials for network authentication       Setting must be set to disabled

3)

allow log on locally 这里添加进去对方域的账号或者组

经过以上几步对方域的账号就可以登录的信任的域中去

 

 

 

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值