J'utilise le serveur Terminal Service avec Windows Server 2012 et nous disposons de deux serveurs Terminal Server Share TROUGH NLB, les utilisateurs se connectent à un terminal de la DOMAIN1
Domaine avec connexion de bureau à distance (voir photo ci-dessous).
Je dois mapper un lecteur réseau pour les utilisateurs dans le terminal vers une action sur un autre domaine (DOMAIN2
qui a le contrôleur de domaine Windows Server 2003). J'essaie de créer un GPO dans DOMAIN1
par DC1
(contrôleur de domaine pour DOMAIN1
Avec Windows Server 2012) pour mapper le lecteur réseau.
DC1
et DOMAIN2
sont physiquement connectés dans le même réseau.
Comment mapper un lecteur réseau vers une action dans l'autre domaine (DOMAIN2
) sur les terminaux dans le domaine principal (DOMAIN1
)?
La réponse courte est - vous devez probablement regarder une relation de confiance entre vos deux domaines. Si cela existe, vous pourrez alors utiliser l'authentification entre eux et "tout" fonctionnera normalement.
La réponse la plus longue: lorsque vous vous connectez à un royaume Kerberos (qui est plus ou moins ce qu'est un domaine Windows), vous avez émis un ticket d'octroi de billets - TGT
- Vous pouvez le voir sur votre hôte lorsque vous exécutez klist
. Ce billet est utilisé pour accorder l'accès aux ressources dans le domaine - vous demandez la permission d'accéder à \\servername\sharename
Et votre contrôleur de domaine vous concerne un billet d'accès.
Lorsque vous allez du domaine croisé, ce mécanisme n'existe pas - votre billet n'est pas "valide" aussi loin que le domaine distant est concerné.
Vous pouvez soit: connectez-vous en tant qu'utilisateur de domaine dans le domaine distant (obtenir des billets/authentification à partir d'une autre source également) ou d'établir une relation de confiance, telle que vous sont considéré comme un utilisateur valide.
Vous pouvez utiliser des extensions de stratégie de groupe pour cela. (Carte lecteur réseau). Si vos domaines ne sont pas confidentiels, vous devez avoir les mêmes utilisateurs des deux côtés avec les mêmes mots de passe ou vous devez fournir un mot de passe sur la boîte de dialogue Carte Network Drive dans le GPO.
Si ce n'est pas non plus une option, vous pouvez utiliser un script de connexion qui émet un Net Use \\server\path /USER:DOMAIN2\user
qui demandera ensuite à un mot de passe de l'utilisateur.