none
两个有双向信任的域,如何实现用户在两个域中自由登录 RRS feed

答案

  • 我想这条命令应该就可以代替你的手动操作。

    dsacls "DN_of_Computer_Object" /G User_or_Group_Name:"CA;Allowed to authenticate"

    其中:
    DN_of_Computer_Object是计算机对象的DN
    User_or_Group_Name是用户名或组名

    例如:
    dsacls "CN=TEST-WIN7,OU=TestOU,DC=mydomain,DC=com" /G alice:"CA;Allowed to authenticate"

    如果可以的话,那么,你只要事先整理出你要设置的计算机的DN清单,以及被赋予权限的用户或组名,然后用批处理for一下,自动逐一执行这个命令即可。


    2013年4月25日 10:32

全部回复

  • 你说的 “用户在两个域中自由登录” 具体指什么?

    A、B两互信域,A中的UserA交互式本地登录B中的ComputerB吗?

    2013年4月24日 7:48
  • 对,如何实现A,B两个域的用户账户能够在对方的域站点电脑上登录

    2013年4月25日 1:16
  • 如果你的信任配置都OK了,那么,在ComputerB上输入用户名A域用户的UserPrincipalName和密码即可,UserPrincipalName就是类似UserA@domainA.com这种形式

    下拉框肯定是没得选domainA的

    这篇文章提到了登录信任域的一些细节:The Domain Logon Dialogue
    http://blogs.technet.com/b/ad/archive/2008/01/04/the-domain-logon-dialogue.aspx

    • 已编辑 Finy 2013年4月25日 2:17
    2013年4月25日 2:15
  • 我这里的域控用的是windows 2008,是没有下拉菜单的,A域和B域是建立了双向的林信任关系。直接用UPN登录有问题,如果在AD里面的计算机安全里面加入被信任域的用户组,可以登录。但是这样就需要给AD里面的每一台计算机设置这个允许身份验证登录。有没有什么方法能解决这个问题。

    2013年4月25日 4:50
  • 如果脚本可以帮助你一次性完成 “给AD里面的每一台计算机设置这个允许身份验证登录” ,是否就算解决了?

    具体是哪个设置?我看看能否简单脚本化。

    2013年4月25日 4:54
  • 应该是AD里面每一台计算机都设置允许一个全局组的用户组在上面“允许身份验证登录”。具体的设置是 AD用户和计算机,计算机属性,安全,添加用户组,然后选择允许身份验证登录。
    2013年4月25日 5:09
  • 我想这条命令应该就可以代替你的手动操作。

    dsacls "DN_of_Computer_Object" /G User_or_Group_Name:"CA;Allowed to authenticate"

    其中:
    DN_of_Computer_Object是计算机对象的DN
    User_or_Group_Name是用户名或组名

    例如:
    dsacls "CN=TEST-WIN7,OU=TestOU,DC=mydomain,DC=com" /G alice:"CA;Allowed to authenticate"

    如果可以的话,那么,你只要事先整理出你要设置的计算机的DN清单,以及被赋予权限的用户或组名,然后用批处理for一下,自动逐一执行这个命令即可。


    2013年4月25日 10:32