web-dev-qa-db-ja.com

ADクロスフォレストトラストログオンワークステーション

当社の事業部門は外部機関に買収されました。

私たちは2008 R2 ADを実行しており、2012 ADを実行しており、ドメインは参加または信頼されていません。

本社のデータセンター(ドメインA)にドメインコントローラーを含むサーバーがあります。

ここにドメインコントローラーがあります(ドメインB)。現在、本社(ドメインA)から海外で検討されています。

両方のサイトはVPNを介してリンクされており、すべてのサーバーが相互に接続できます。実際、これらのサイトはDCを構築して、ネットワーク内のオフィスで実行します(ただし現在ドメインBとは通信しません) DC、プライマリドメインA DC VPN経由)に同期します。

質問-(ワークステーションとサーバーで)何をする必要がありますか:

  1. ドメインA HQのユーザーが、通常のドメインA資格情報を使用して、新しい海外オフィスのワークステーション(ドメインBに参加しているワークステーション)にログインできるようにします。

  2. それでも、既存のドメインBユーザーがログインしてワークステーションを通常どおりに使用できるようにしますか(既存のドメインB Active Directoryアカウントは以前と同じようにドメインBワークステーションを使用できます)?

信頼を使用する場合、これは一方向または双方向である必要がありますか?信頼を追加する場合だけですか、それともワークステーションまたはグループポリシーで何かを構成する必要がありますか?

2
g18c

ジョーは正しい答えを持っています(そして答えとして投稿するべきでした。)

ドメインBがドメインAを信頼する、少なくとも一方向の信頼が必要です。これにより、ドメインAのユーザーはドメインBのワークステーションにログインできます(要件1)。

信頼は、ドメインBユーザーがドメインBワークステーションにログインし続ける方法にまったく影響を与えないため、要件2に対して何もする必要はありません。

これを読んで、ビジネスユニットを購入した会社のIT部門と話し合い、短期的および長期的なビジネス要件を決定する必要があります。潜在的な混乱を未然に防ぐために、ここにいくつかの重要な関連情報があります。

  1. ドメインをフォレストに追加することはできません。
  2. ドメインBのユーザーがドメインAのワークステーションにログインするには、双方向の信頼が必要であり、明記された要件ではなく、次の質問となる可能性があります。
  3. ADMTまたはサードパーティのツールを使用して、ワークステーション、サーバー、およびユーザー(および、Exchange、Sharepointなどの他のもの)をドメインからフォレストに移行できます。

編集-ジョーはまた、re:GPOの振る舞いについて、何を期待するかについて良い点を述べています。実際、上で述べたように、これについて真剣に調査する必要があります。あらゆる種類の影響、技術的および特に、PCI、HIPAA、SOX、その他多くの種類のプライバシー規制に該当するビジネスに従事している場合は、組織的です。

6
mfinni