可以使用 Active Directory 域和信任关系管理单元,为通过外部信任或林信任进行身份验证的用户指定身份验证的范围。

Domain AdminsEnterprise Admins 中的成员身份或等效身份是完成此过程所需的最低要求。 查看有关使用适当帐户和组成员关系的详细信息,请访问 https://go.microsoft.com/fwlink/?LinkId=83477(可能为英文链接)。

使用 Windows 界面选择身份验证范围的步骤
  1. 打开“Active Directory 域和信任关系”。若要打开“Active Directory 域和信任关系”,请依次单击“开始”“管理工具”“Active Directory 域和信任关系”

  2. 在控制台树中,右键单击要管理的域的域节点,然后单击“属性”

  3. “信任”选项卡上的“受此域信任的域(外向信任)”“信任此域的域(内向信任)”下,执行以下操作之一:

    • 若要为通过外部信任进行身份验证的用户选择身份验证的范围,请单击要管理的外部信任,然后单击“属性”。在“身份验证”选项卡上,单击“全域性身份验证”“选择性身份验证”

    • 若要为通过林信任进行身份验证的用户选择身份验证的范围,请单击要管理的林信任,然后单击“属性”。在“身份验证”选项卡上,单击“全林性身份验证”“选择性身份验证”

其他注意事项

  • 若要执行此过程,您必须是 Active Directory 域服务 (AD DS) 中 Domain Admins 组或 Enterprise Admins 组的成员,或者您必须被委派了适当的权限。作为安全性最佳操作,请考虑使用“运行身份”来执行此过程。有关详细信息,请在“帮助和支持”中搜索“使用运行身份”。

  • 对于外部信任,如果选择“选择性身份验证”,您必须对本地域以及希望需要外部域中的用户可以访问的资源手动启用权限。

  • 对于林信任,如果选择“选择性身份验证”,您必须对每个域以及希望其他林中的用户可以访问的资源手动启用权限。

  • 您可以仅在外部信任和林信任上使用选择性身份验证。

其他参考