今天在论坛晃悠,看到了这个问题。父域的帐户登陆不了子域,如何解决。

咋一看是一个比较简单的问题,就想马上回答。可自己想了老半天也没有想到倒地如何解决,突然发现对于这个知识点自己竟然一点儿都不熟悉。上网google了一下,找到了比较合理的解释。原来问题没有想想中的那么简单

下面是某个牛人的解释:

在域里面的继承关系,就是总的来说 低层是无条件继承高层的一切设置,   但当底层的的设置和高层有冲突或不一样时,以低层的设置为准, 这样就导致了正向的继承,反向继承是不存在的也不可能的,

但你这样的情况是, 我认为,你钻如了牛角尖,
来分析下

如果你所说,在子域上无论建立的是 123456@sub.test.com还是 123456@test.com 都是可以建立的,并且都是可以登陆的.
来看下他们之间的继承关系
首先,在子域上肯定是无条件的继承了父域的关系和条件(当然这里面也并不是所有的设置都允许子域继承的,就是说该让你子域知道的会让你知道,反之异然,呵呵,和实际中的人际权限差不多),这样的话当你在子域建立123456@test.com
这样的一个帐户时,由于子域属于他属于test.com 域,所以可以成立并且这个帐户是建立在test.com 域服务器的数据库里面的.(在这里其实子域继承了父域的很大权限,要不然也不会允许你在当前的位置建立父域的帐户).   这样的话假定父域的帐户拥有完全的登陆权限,所以登陆子域没问题.
在看下在子域里面建立123456@sub.test.com时,会出现什么情况,很简单,我的地盘我做主,当然不成问题了,至于子域的帐户能够直接登陆父域,还是那句话,你这个子域拥有完全权限.

下面来看下,你所说的问题的存在
你说不能在父域上建立子域的帐户,
应该没有这个必要吧, 每个子域都拥有自己独立的帐户数据库,父域不知道,将来会有多少个子域的存在,所以建立不允许你建立子域的帐户,其实在这里还有一个问题就是,你的父域在建立子域帐户时查询子域时出错了,导致不能操作子域的帐户数据库

在来看看为什么没这个必要,   父域的帐户当然能够全局登陆了(假设),父域的帐户是属于父域数据库的他没有义务和必要去继承子域的设置的,那么如果有多个子域的话,是不是在登陆每个子域的父域帐户都要有不同的子域后缀了???这样的话,父域的全局登陆权限不是没用了,而且又造成了父域的帐户登陆每个子域时都要有不同的后缀名,这样不是很麻烦??通用性何在???
就是说你的父域帐户没有那个必要去登陆子域的服务器,既然是在父域上建立的帐户那么这个帐户就不是简单的帐户有可能是部门的boss帐户拥有最高权限,登陆时当然不能登陆子域的服务器了, 当然也就不受子域的帐户策略影响了(注意继承关系).

好了, 我想说的意思很明白,也许在文字表达上不够好,请仔细琢磨,纯属个人观点,供参考,欢迎讨论.