两个有双向信任的域，如何实现用户在两个域中自由登录

全部回复

• 

  

  0

  登录进行投票

  你说的 “用户在两个域中自由登录” 具体指什么？

  A、B两互信域，A中的UserA交互式本地登录B中的ComputerB吗？

  2013年4月24日 7:48

  回复

  |

  引用
• 

  

  0

  登录进行投票

  对，如何实现A,B两个域的用户账户能够在对方的域站点电脑上登录

  2013年4月25日 1:16

  回复

  |

  引用
• 

  

  0

  登录进行投票

  如果你的信任配置都OK了，那么，在ComputerB上输入用户名A域用户的UserPrincipalName和密码即可，UserPrincipalName就是类似UserA@domainA.com这种形式

  下拉框肯定是没得选domainA的

  这篇文章提到了登录信任域的一些细节：The Domain Logon Dialogue
  http://blogs.technet.com/b/ad/archive/2008/01/04/the-domain-logon-dialogue.aspx

  • 已编辑 Finy 2013年4月25日 2:17

  2013年4月25日 2:15

  回复

  |

  引用
• 

  

  0

  登录进行投票

  我这里的域控用的是windows 2008，是没有下拉菜单的，A域和B域是建立了双向的林信任关系。直接用UPN登录有问题，如果在AD里面的计算机安全里面加入被信任域的用户组，可以登录。但是这样就需要给AD里面的每一台计算机设置这个允许身份验证登录。有没有什么方法能解决这个问题。

  2013年4月25日 4:50

  回复

  |

  引用
• 

  

  0

  登录进行投票

  如果脚本可以帮助你一次性完成 “给AD里面的每一台计算机设置这个允许身份验证登录” ，是否就算解决了？

  具体是哪个设置？我看看能否简单脚本化。

  2013年4月25日 4:54

  回复

  |

  引用
• 

  

  0

  登录进行投票

  应该是AD里面每一台计算机都设置允许一个全局组的用户组在上面“允许身份验证登录”。具体的设置是 AD用户和计算机，计算机属性，安全，添加用户组，然后选择允许身份验证登录。

  2013年4月25日 5:09

  回复

  |

  引用
• 

  

  0

  登录进行投票

  我想这条命令应该就可以代替你的手动操作。

  dsacls "DN_of_Computer_Object" /G User_or_Group_Name:"CA;Allowed to authenticate"

  其中：
  DN_of_Computer_Object是计算机对象的DN
  User_or_Group_Name是用户名或组名

  例如：
  dsacls "CN=TEST-WIN7,OU=TestOU,DC=mydomain,DC=com" /G alice:"CA;Allowed to authenticate"

  如果可以的话，那么，你只要事先整理出你要设置的计算机的DN清单，以及被赋予权限的用户或组名，然后用批处理for一下，自动逐一执行这个命令即可。

  
  

  • 已编辑 Finy 2013年4月25日 10:33
  • 已建议为答案 Finy 2013年4月27日 3:11
  • 已标记为答案 Tom Zhang – MSFTModerator 2013年5月2日 8:44

  2013年4月25日 10:32

  回复

  |

  引用