請教各位前輩
公司目前有一個AD網域Domain A(獨立樹系的根網域)
所有辦公室和生產線的電腦接加入Domain A
使用者使用各自的AD帳號登入Domain A後
會連線到Domain A File Server上各自有權限的資料夾
假設現在要將辦公室電腦和生產線電腦各區隔開來
辦公室的電腦和使用者
仍沿用原本的設定
屬於Domain A的成員
另外再新增一個AD網域Domain B(獨立樹系的根網域)
將生產線的電腦和使用者
加入成為Domain B網域的成員
那請問生產線的電腦是否需要先退出Domain A後才能加入Domain B
或者是可以同時加入成為Domain A和Domain B的成員呢
另外原本生產線使用者在Domain A File Server的資料夾
是否可以使用可複製資料夾ACL權限的工具
直接遷移到Domain B的File Server中繼續沿用
還是得在Domain B的File Server中整個重新建立資料夾和權限呢
還有為了保險起見
生產線電腦可能得先同時能存取Domain A和Domain B File Server的資料夾
等到確定可以連線到Domain B File Server資料夾可以正常Work後
將和Domain A File Server的連線關係終止
也就是徹底退出Domain A
那這樣的話是否讓Domain A和Domain B先做雙向信任
等到確定OK後再把信任中斷呢
還請各位不吝賜教~謝謝
已邀請的邦友 {{ invite_list.length }}/5
1.是的,必須先退Domain A電腦才能加入Domain B哦,因為一台電腦只能加入一個網域
2.必須重建Domain B的File server資料夾權限,雖然你在B設定的使用者名稱都相同,但是每個使用者都有自己的SID,所以名稱相同SID還是不同的,所以無法延用
3.做雙向信任是一種做法,如果只是做資料夾分享存取的話,其實可以先保留Domain A的使用者,建立一個網路磁碟機或用Domain A的原使用者權限去存取即可,這種做法比較簡單,就不用做到雙向信任囉
所以Fastcopy或Robocopy等可以複製ACL的工具
僅限於同一個網域下的資料夾之遷移或移轉嗎
在不做雙向信任的狀況下
保留A網域的使用者@@
您是指在電腦退出A網域加入B網域之後
在本機的使用者和群組的管理中
不要移除原先的A網域帳號嗎
假設A和B網域在完成雙向信任之後
在A網域的成員電腦上
使用B網域的使用者帳號登入該電腦後
這時是套用A網域的設定還是B網域的設定呢
(假設A網域和B網域各有設定GPO的話)
1.小弟沒試過,就認知來說應該是僅限同一網域下使用者移轉,原因如A大第二點(有錯請指正)
2.A大這裡說的保留應是說A網域帳號,應該在AD使用與電腦者管理下,不是本機帳號裡
3.用哪個網域帳號登就是套用哪個(有錯請指正)
那A網域的帳號Z要存取MES主機時
在原本的A網域成員電腦X上
或者是B網域的成員電腦Y上
都可以使用A網域的帳號Z登入後存取MES是嗎
1.是的
又如果將原本A網域的成員電腦X
暫時接到B Domain的區域上使用的話(非退出A網域)
這樣一樣可以使用A網域的帳號Z登入後存取MES是嗎
2.這個就跟網域沒有關係了,就要看你電腦的網路是不是能連到MES,如果可以就可以用Z帳號存取
Active Directory的最小儲存單元為物件(object),每個物件均有自己的schema屬性,可以儲存不同的資料,像是使用者、群組、電腦、信箱或其他的基本物件等。
一個AD網域底下的基本物件,有:
Domain Controllers,儲存網域所屬的網域控制站(簡稱裝置內容、域控)。
Computers,儲存加入網域的電腦物件。
Builtin,儲存內建的帳戶群組。
Users,儲存AD中的使用者物件。
若公司需要以不同的組織結構來管理公司的帳戶,則可以在AD中建立一個或多個組織單元(Organization Unit,簡稱OU),組織單元是一個具有收納能力的Active Directory物件(其在ADSI中是IADsContainer介面),可以在OU之中存放AD的物件,包括使用者,群組,電腦等,讓組織結構在AD中可以被真實的反映出來,而且也方便AD中的另一個功能——群組原則(Group Policy)的套用與集中管理。
樹系與多網域[編輯]
一個Active Directory網域樹的結構
一個內含子網域的Active Directory網域樹的結構
若組織的網路環境相當龐大與複雜時,網域可能會有許多個,在AD之中,網域可以有一個或多個,而一個大型公司可能會利用分公司或是辦公室的方式來組織網域物件,如此一來,在AD中會有數個網域,若需要在網域中共享資料或是做委派管理與組態設定時,便需要建立彼此間的組織關係,微軟將AD中多網域相互的關係階層化,稱為網域樹(domain tree),網域樹結構以DNS識別方式來區分,例如一間公司可能有業務部門,工程部門與管理部門,那麼若要以部門來建立網域時,則可以如此建立(如右圖):
acme.com.tw:根網域。
sales.acme.com.tw:業務部門。
engineering.acme.com.tw:工程部門。
admin.acme.com.tw:管理部門。
如此便可在AD中反映出組織的結構,同樣的,網域內還是可以再建立不同的網域,例如在工程部門中若需要分為軟體部門與硬體部門時,還可以在工程部門的網域中建立:
software.engineering.acme.com.tw:軟體部門的網域。
hardware.engineering.acme.com.tw:硬體部門的網域。
而在工程部門網域中的群組原則設定,會自動的繼承至軟體部門和硬體部門的設定,而在軟體部門的組態,則不會影響到硬體部門(可經過設定來套用)。
物件結構[編輯]
由於微軟在設計Active Directory是使用開放型的目錄服務為方針,且目錄服務的最基本特性之一就是要能「廣納百川」,除了基本的網路服務資料外,還需要能夠和其他異質型服務連接與整合,因此微軟在AD之中實作了一個物件的儲存單位,稱為「物件結構」(schema),物件結構可以視為AD物件的元資料(metadata)。每一個物件(不論是單元或是容器物件)都有各自的schema,用以儲存識別該物件的不同資料,schema是由class和attribute所組成,attribute是最小的儲存單元,class則是包含attribute的集合體。
儲存在attribute中的資料有很多種格式,微軟將這些格式定義成27種Schema資料型態,像是指示帳戶過期日的Account-Expires屬性,其值是interval資料型態(代表時間週期,為一個64位元整數值),又如指示帳戶SAM名稱的sAMAccountName屬性,其值是String(Unicode)值(支援Unicode的字串值),又如儲存使用者的照片的Picture屬性,其值是Object(Repl-Link,代表是位元組資料,且可以複製到其他網域控制站)。
微軟也開放了可延伸schema的方法[4],開發人員可以利用這一套方法來延伸Active Directory Schema中的資料,但一旦寫入AD後,即不可刪除(因為物件識別碼不可更動),但是可以停用,延伸AD Schema最好的例子就是Microsoft Exchange Server。
大量使用權限設定
先設好生產線A群組權限
再將所有使用者套用群組權限
SID是固定,所以使用者名稱更改不影響其權限,例如A離職,只需將期暫停使用即可,新進的替補員工既可繼承其權限
操作如下
1.新增群組原則物件
生產線專用→ File server資料夾權限 ( Domain A的原使用者權限)
業務部專用
iThome鐵人賽
看影片追技術