none
域间的信任关系 RRS feed

  • 问题

  • 我的环境是这样的:域控制使用的是windows server 2008 R2系统。我有1台域控制器S1,域名称是demo.com,下面有个域成员计算机CL1(XP系统),还有个域用户叫lili;另外有1台域控制器S2,域名称是contoso.com,下面有个域成员计算机C1(win 7),有个域用户bob。现在在两个域中,建立了单向信任关系,在S1上配置的是单向内传,在S2上配置的是单向外传。信任关系就是,S1被信任S2信任(也就是S2信任S1)。由这个信任关系可知,S1上的用户可以登陆到S2(contoso.com)中的域成员计算机上。S2上的用户不能登陆到S1(demo.com)中的域成员计算机上。可是问题来了,我在C1上以demo\bob的账户形式确实登陆不上demo域,但是我用demo\bob@contoso.com却可以登陆上demo域。 这是为什么?
    2015年11月3日 11:58

答案

  • 你好,

    请问你的这两个域是否位于同一个森林? 如果你的两个域是属于同一个森林的,虽然你手动建立了一个单向的信任关系,但是这两个域也就是两个tree root 之间其实是默认的双向信任关系,他们之间是可以互相访问的。 这就解释了为什么你可以用demo\bob@contoso.com 登录到demo 域。

    由于你提到使用demo\bob 无法登陆, 这是by design 的。 因为bob 账号并不是Demo 域中的用户,当然会登陆失败。 而当你使用 demo\ bob@contoso.com 登录时则说明你是使用了contoso.com 中的用户账户进行登录, DC 会去检查两个域之间的信任关系, 发现两者是双向信任。 也因此你可以登陆成功。

    Best Regards,

    Elaine


    Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2015年11月4日 9:15
    版主