哪种活动目录

Question

我们存在于一个大企业中(在一个活动目录中，我们显然无法获得管理员权限)，并且希望为我们的开发部门设置一个本地active。

这个问题是我可以向企业AD人员介绍的案例的一部分，确切地定义了我们需要从他们那里得到什么。我不打算在他们不采取行动的情况下完成这项任务。

我们希望能够在本地AD中使用我们的企业AD用户。

在这个本地的AD中，我们想把我们的开发服务器，其中一些将从黄金图像提供，并丢弃每小时或更快。

这个练习的一部分是，我们希望与企业AD中的用户登录到本地AD中存在的服务器。使用企业AD作为身份验证，使用本地AD作为授权。

这是一个子域还是具有单向信任的外部域？

有人能教我一点吗?也许有人会给我一些关于如何建立一个实验室的想法，这样我们就可以在没有管理权限的情况下对企业AD进行测试。

Answer 1

我会和一个单向森林信托基金一起去。您也可以使用外部信任，但是一些狭窄的边缘情况不能正确地处理外部信任，但是可以使用林信任。根据您正在做的事情，生产林中可能需要一些便利才能使名称解析工作(存根区域/dns后缀搜索顺序)。

子域不是一个很好的选择，因为测试环境通常是一种安全风险，而林是安全边界。(子域信任是传递性的)。单向信任确保无法从测试环境访问生产林。