Le système prend en charge les approbations externes (ou de forêt) transitant entre des domaines dans différentes forêts.
Cela inclut :
- Attribution/droit d'utilisateurs/groupes dans une forêt à des ressources dans une forêt différente.
- Prise en charge des approbations unidirectionnelles.
Pour que cette fonctionnalité soit opérationnelle, vous devez procéder comme suit.
- Enregistrez tous les domaines de toutes les forêts qui contiennent des comptes et des postes de travail que vous voulez utiliser.
- Enregistrez des domaines racines de forêt des deux côtés d'une approbation de forêt. Cela est obligatoire pour autoriser le locataire à se connecter aux racines de forêt et décoder le TDO pertinent. Cette exigence tient même s'il n'y a aucun poste de travail DaaS ou utilisateur dans les domaines racines de forêt.
- Activez le catalogue global pour au moins l'un des domaines enregistrés dans chaque forêt. Pour des performances optimales, le catalogue global doit être activé sur tous les domaines enregistrés.
- Pour autoriser des groupes de différentes forêts sur un poste de travail, enregistrez au moins un groupe universel de chaque forêt. Le droit/l'attribution à l'aide de groupes locaux de domaine n'est pas pris en charge. Par conséquent, le système filtre des FSP des DN d'attribut et de groupes de jeton 'membre'.
- Suivez une structure hiérarchique au sujet des noms DNS et du contexte de nommage racine pour les domaines de forêt. Par exemple, si le nom du domaine parent est exemple.edu, un domaine enfant peut être nommé vpc.exemple.edu, mais pas vpc.com.
- Évitez d'avoir un domaine provenant d'une forêt approuvée en externe avec un nom NETBIOS dissonant, car les domaines seront exclus. Le nom NETBIOS enregistré aura toujours la priorité sur un nom NETBIOS dissonant trouvé lors de l'énumération des domaines d'une forêt approuvée.