域信任问题

Question

我已经设置了一个新域(称为"b")，它信任我们的旧域(称为"a")。这是一种单向信任，允许用户从"a“登录并使用他们的域"a”凭据对域"b“进行身份验证。我们遇到的问题是我们无法在域"b"s组中添加"a“组和”a“用户。在AD中，当试图在locations下添加组/用户时，只列出域"b“。但是，如果我们在域"b“中的计算机上创建一个共享文件夹，则可以在"a”域中添加组和用户，而不存在任何问题，并且这些用户能够无任何问题地访问。

域"a“包含两个服务器2003域控制器和一个windows 2000。域"b“包含一个服务器2008域控制器和一个服务器2008RODC。

域"a“的森林功能水平为2000年，而"b”的森林功能水平为2008年。

如何将域"a“中的组/用户添加到域"b”中的组中？考虑到当前的基础设施/配置，我们正在尝试做的事情是否可能？

提前感谢您的帮助。

Answer 1

您可能试图使用一个没有适当范围的组来查看来自受信任域的成员。

如果这是一个跨林信任，您可以使用的唯一类型的组从域'a‘中的域b权限分配用户是域本地的。

如果这不是跨林信任，则可以使用域本地或通用。

微软有一个很好的关于组范围的Technet条款。