ADクロスフォレストトラストログオンワークステーション
当社の事業部門は外部機関に買収されました。
私たちは2008 R2 ADを実行しており、2012 ADを実行しており、ドメインは参加または信頼されていません。
本社のデータセンター(ドメインA)にドメインコントローラーを含むサーバーがあります。
ここにドメインコントローラーがあります(ドメインB)。現在、本社(ドメインA)から海外で検討されています。
両方のサイトはVPNを介してリンクされており、すべてのサーバーが相互に接続できます。実際、これらのサイトはDCを構築して、ネットワーク内のオフィスで実行します(ただし現在ドメインBとは通信しません) DC、プライマリドメインA DC VPN経由)に同期します。
質問-(ワークステーションとサーバーで)何をする必要がありますか:
ドメインA HQのユーザーが、通常のドメインA資格情報を使用して、新しい海外オフィスのワークステーション(ドメインBに参加しているワークステーション)にログインできるようにします。
それでも、既存のドメインBユーザーがログインしてワークステーションを通常どおりに使用できるようにしますか(既存のドメインB Active Directoryアカウントは以前と同じようにドメインBワークステーションを使用できます)?
信頼を使用する場合、これは一方向または双方向である必要がありますか?信頼を追加する場合だけですか、それともワークステーションまたはグループポリシーで何かを構成する必要がありますか?
ジョーは正しい答えを持っています(そして答えとして投稿するべきでした。)
ドメインBがドメインAを信頼する、少なくとも一方向の信頼が必要です。これにより、ドメインAのユーザーはドメインBのワークステーションにログインできます(要件1)。
信頼は、ドメインBユーザーがドメインBワークステーションにログインし続ける方法にまったく影響を与えないため、要件2に対して何もする必要はありません。
これを読んで、ビジネスユニットを購入した会社のIT部門と話し合い、短期的および長期的なビジネス要件を決定する必要があります。潜在的な混乱を未然に防ぐために、ここにいくつかの重要な関連情報があります。
- ドメインをフォレストに追加することはできません。
- ドメインBのユーザーがドメインAのワークステーションにログインするには、双方向の信頼が必要であり、明記された要件ではなく、次の質問となる可能性があります。
- ADMTまたはサードパーティのツールを使用して、ワークステーション、サーバー、およびユーザー(および、Exchange、Sharepointなどの他のもの)をドメインからフォレストに移行できます。
編集-ジョーはまた、re:GPOの振る舞いについて、何を期待するかについて良い点を述べています。実際、上で述べたように、これについて真剣に調査する必要があります。あらゆる種類の影響、技術的および特に、PCI、HIPAA、SOX、その他多くの種類のプライバシー規制に該当するビジネスに従事している場合は、組織的です。