Security 在合作伙伴公司的Active Directory实例之间建立信任关系有意义吗？

如果公司经常要求在合作伙伴的active directory中创建用户，反之亦然，那么在AD实例之间建立联合/信任关系是否有意义？如果是，应该考虑什么？合作伙伴广告中用户的ACL是否仍以相同的方式工作？这会带来什么安全风险

谢谢

KA

更新：

---

我了解到，有一种更好的方法可以做到这一点，那就是让应用程序本身检查用户存储。最好的方法是将应用程序移动到两个用户存储都信任的域中。我在下面的回答中提供了更多的细节。

我对此进行了更多的研究，并找到了一个很好的解决方案。由于两家公司都需要使用同一个系统，因此系统本身只需要验证用户是否存在于任一用户存储中（身份验证），然后在系统级别进行授权

允许两家公司访问的想法是可靠的——如果我们在一起工作，但没有办法做到这一点，我们需要重新创建公司中的所有用户，而这些用户在连接的用户商店中没有访问权限。显然，这将是一个彻底的混乱和维护噩梦

---

我发现在我的案例中，即使两个广告都在同一个广域网上，也有必要建立一个正式的联盟或信任。谢天谢地，我们已经有了一个在两家公司之间都可以信任的域，所以我只需要将合作伙伴使用的应用程序转移到这个域中。之后，只需完全限定DNS后缀以指示正在使用的广告。然后，特定于应用程序的ACL引用所需的用户存储。

是的，如果您希望两者都能够跨多个域对用户进行身份验证，这是有意义的。您必须将目标应用程序所在的服务器放在每个AD实例都信任的域中，以便进行身份验证