В статье "Active Directory user topology" (
http://msdn.microsoft.com/en-us/libr...43(AX.10).aspx) рассматривается 2 варианта организации доступа внешних веб-пользователей к DAX 4.0 (если я правильно понимаю):
1. "Standard perimeter network" - в отдельную организационную единицу (organizational unit) Active Directory основного домена добавляются пользователи со следующими ограничениями прав: "Cannot log on locally" и "Cannot access the network". Далее эти пользователи добавляются в DAX в качестве внешних пользователей (Администрирование/Пользователи/Пользовательские связи/Разное/Внешние пользователи) и используются для доступа к DAX через Интернет.
2. "Traditional perimeter network" - создается дополнительный домен с односторонним доверительным отношением к основному. В дополнительный домен добавляются пользователи, учетные записи которых будут использоваться внешними веб-пользователями. Они не имеют никаких прав в основном домене, а в дополнительном их права ограничены следующим образом: "Cannot log on locally" и "Cannot access the network". Далее эти пользователи добавляются в DAX в качестве внешних пользователей (Администрирование/Пользователи/Пользовательские связи/Разное/Внешние пользователи) и используются для доступа к DAX через Интернет. При этом на веб-сервере предлагается перекрыть политику "Cannot access network" для открытия доступа к нему.
Хотелось бы задать следующие вопросы тем, кому приходилось реализовывать эти варианты на практике, или тем, кто имеет опыт администрирования Active Directory:
1. В чем вы видите основные достоинства и недостатки каждого из предложенных вариантов?
2. Возможно ли применение других вариантов? Например, заводить не доменные а локальные аккаунты в Enterprise Portal server для внешних пользователей.