近日给一个Forest级别Trust的Domain设置了Selective Trust,然后跨域访问开始爆炸。AD Administrative Center(dsac.exe)打开就报错( System.Security.Authentication.AuthenticationException )退出;几个MMC Snap-in则不是报告莫名其妙的local error就是提示 Logon Failure: The machine you are logging onto is protected by an authentication firewall. The specified account is not allowed to authenticate to the machine. 。用Delegation of Control Wizard给外部用户分配所有权限也没有用。
为了获取到域用户列表,程序需要以外部用户身份连接到本域的域控制器,因此首先该外部用户需要具有登录本域域控的权限。在Active Directory Users and Computers MMC Snap-in里,首先在View菜单里勾选Advanced Features,然后在Domain Controllers的Properties对话框中选择Security选项卡,点击Advanced,添加一个Permission:
- Principal选择外部用户或对应的组
- Type选择Allow
- Applies to选择Descendant Computer objects
- Permissions除默认外,勾选Allowed to Authenticate一项
然后点击OK。这时候你应该能以外部用户身份访问本域的Users and Computers列表了。