首先,一些背景知识:我们有一个基于 WSS 3.0 的 Intranet 站点,它托管在DOMAIN_A.LOCAL中的服务器上,并设置为使用集成 Windows 身份验证来针对DOMAIN_A.LOCAL的 Active Directory 用户帐户对用户进行身份验证。
此设置适用于使用DOMAIN_A.LOCAL的 AD 帐户登录 Windows 的用户,但是当用户尝试从使用不同域(即DOMAIN_B.LOCAL)的AD 帐户登录 Windows 的 PC 访问该站点时,出现以下问题:
用户必须手动将其凭据输入为DOMAIN_A\UserName而不仅仅是UserName,否则 Internet Explorer 会自动插入DOMAIN_B并导致身份验证失败。
登录后,如果用户执行需要浏览器将其身份验证传递给客户端应用程序的操作,例如单击文档库中的 Microsoft Office 文档以将其打开以进行编辑,则显示无效凭据(大概DOMAIN_B ) 被自动传递,从而迫使用户再次手动输入他们的DOMAIN_A凭据。
那么我的问题是这样的:
有没有办法在使用集成 Windows 身份验证时实现“默认域”类型的行为(使用基本明文身份验证时可以这样做),以便如果DOMAIN_B上的用户没有在其用户名之前输入域,则DOMAIN_A是为他们自动插入?
当然,我意识到这种部署可能存在致命缺陷,因此我也愿意接受不同实施的建议。
总之,主要问题源于两种不同类型的用户需要访问一个 SharePoint 网站上的相同内容。DOMAIN_A中的用户都有自己的全职工作站,他们在其中以自己的身份登录 Windows。不幸的是, DOMAIN_B中的用户必须使用共享计算机,这些计算机使用在 SharePoint 中没有权限的通用“信息亭”类型帐户登录——因此要求DOMAIN_B用户在访问 SharePoint 中的给定页面时必须按需提供其凭据。我想为DOMAIN_A的“静态”用户保留集成 Windows 身份验证的便利性,同时最大限度地减少“信息亭”用户的手动身份验证量DOMAIN_B必须忍受。