為何 AD 受信任的網域本地群組,會無法透過 SMB 存取 NAS?
最後修訂日期:
2024-05-22
因為 MSDN 規格的本質,所以 AD 受信任的網域本地群組無法透過 SMB 存取 NAS。請參閱下圖:
在此圖中,該 NAS 是 Windows AD 網域 A (DOM_A) 的 AD 成員伺服器,與 Windows AD 網域 B (DOM_B) 之間具有樹系信任關係。在此情況下,NAS 會將 DOM_A 識別為自己的網域,因此 DOM_A 的群組可存取該 NAS。該 NAS 會將 DOM_B 識別為受信任的網域,但 DOM_B 的群組無法存取該 NAS。此行為符合 MSDN 規格。
若要允許 DOM_B 的群組存取該 NAS,請使用下列兩種因應措施的其中一種。
- 針對 DOM_B,請勿使用「網域本機」的群組範圍來存取該 NAS。
請改用「全域」或「通用」。
- 改將該 NAS 加入 DOM_B 而非 DOM_A。
注意: 將 NAS 加入不同的 AD 網域後,可能會需要重新設定共用資料夾權限。
如需詳細資訊,請造訪下列 MSDN 資源,以獲得有關「網域本機」群組範圍的詳細資訊。
- 網域本機群組:
這種群組中可包含來自任何受信任網域的成員,但只可對其授予存取自己網域的權限。
https://msdn.microsoft.com/en-us/library/cc246065.aspx - 群組範圍:
只有在與父系網域本機群組相同的網域內,才能將權限指派給成員。
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc755692(v=ws.10) - 跨樹系存取資源:
若要讓使用者從不同樹系存取特定網域內的資源,可在每個網域中建立資源型網域本機群組,並針對目標網域內的資源,指派群組層級的存取權限。
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc772808(v=ws.10)
