Início / server / Perguntas / 648753
Accepted
joeqwerty
Asked: 2014-12-03 22:27:14 +0800 CST

Logons de domínio filho para domínios de confiança de floresta cruzada

  • 772

Eu tenho uma confiança entre florestas entre dois domínios/florestas do Windows Server 2008 R2 (níveis funcionais de domínio e floresta no Windows Server 2008 R2). Os domínios A e B são os domínios raiz da floresta em suas respectivas florestas e o domínio C é o domínio filho do domínio B.

A<->B--C

A relação de confiança é uma confiança de floresta transitiva bidirecional configurada com autenticação em toda a floresta. Quando olho para os objetos TDO em cada domínio, vejo que o domínio B tem um TDO para o domínio A e o domínio C, mas o domínio C só tem um TDO para o domínio B. domínioA também tem um TDO apenas para domínioB. Vejo a mesma coisa refletida nos domínios e relações de confiança do Active Directory em cada domínio.

Ao selecionar o menu suspenso "Fazer logon em" em um computador do domínio C, vejo apenas o domínio B e o domínio C listados. Ao selecionar o menu suspenso "Fazer logon em" em um computador do domínio B, vejo o domínio B, o domínio C e o domínio A listados. Ao selecionar o menu suspenso "Fazer logon em" em um computador de domínioA, vejo apenas o domínioA e o domínioB listados.

A resolução de nomes DNS entre florestas funciona entre todos os três domínios por meio de encaminhadores condicionais entre o domínio A e o domínio B, e posso consultar com êxito os registros AD SRV no domínio A do domínio C e vice-versa.

Não estou entendendo a transitividade do domínio em uma relação de confiança entre florestas? A transitividade não deveria se estender do domínio C para o domínio A e vice-versa?

Editar

Com base na resposta de Ryan:

Comecei a pensar a mesma coisa, mas não tenho experiência em primeira mão com um Forest Trust onde existe um domínio filho, então não sei ao certo o que devo ver. Mesmo que a transividade deva existir entre os domínios A e C, isso não implica necessariamente em "visibilidade". Eu corri nltest /dclistenltest /dsgetdcnltest /dnsgetdce todos retornam com sucesso dos domínios A para C e vice-versa. O que me deixa intrigado é que, ao tentar adicionar um usuário a um grupo Domain Local no domínio AI, só consigo ver o domínio B em Locais e não o domínio C. Esse pode ser o comportamento esperado, mas parece estranho. por exemplo, se eu quiser adicionar um usuário do domínio C ao grupo Remote Desktop Users Domain Local no domínio AI, não posso chegar lá porque não vejo o domínio C em locais no domínio A. Não há como "aninhar" um usuário do domínio C em um grupo do domínio B e, em seguida, adicione o grupo do domínio B ao grupo do domínio A (devido ao escopo do grupo). Portanto, se eu quiser conceder acesso aos usuários do domínio C para fazer logon nos servidores RDS no domínio A, como conseguirei isso?

active-directory

1 respostas

  1. Best Answer

    Acredito que o que você está vendo na caixa suspensa "Fazer logon em" em um membro do Domínio C seja um comportamento normal. Essa caixa suspensa mostrará apenas os domínios adjacentes (o transitivo não conta), mas isso não deve impedir que você faça login em um membro do DomainC com um nome de usuário DomainA\joeqwerty ou joeqwerty@DomainA. Se for muito importante para você ver o DomainA na caixa suspensa quando estiver em um computador no DomainC, você poderá conseguir isso com um atalho de confiança.

    Este documento contém algumas boas pepitas de sabedoria:

    http://technet.microsoft.com/en-us/library/cc773178(v=WS.10).aspx

    Tal como,

    Confiar nos limites de pesquisa

    Quando um cliente procura um caminho de confiança, a pesquisa é limitada a relações de confiança estabelecidas diretamente com um domínio e aquelas que são transitivas dentro de uma floresta. Um domínio filho, por exemplo, não pode usar uma confiança externa entre seu domínio pai e um domínio em outra floresta. Isso ocorre porque um caminho de confiança completo deve ser construído antes que um cliente possa começar a trabalhar ao longo do caminho para um domínio de recurso solicitado. O Windows Server 2003 não oferece suporte a referências cegas; se um cliente não puder identificar um caminho confiável, ele não tentará acessar um recurso solicitado em outro domínio. Domínios filhos não podem identificar confianças externas ou confianças de realm para autoridades de segurança fora de sua floresta porque os TDOs que representam essas relações de confiança são publicados apenas dentro do domínio que compartilha a confiança, não para Catálogos Globais. Os clientes, portanto, não têm conhecimento das relações de confiança que seus domínios compartilham com autoridades de segurança que não sejam seus domínios pai ou filho e, portanto, não podem usá-los para acessar recursos.

    Editar

    Com base na sua edição:

    por exemplo, se eu quiser adicionar um usuário do domínio C ao grupo Remote Desktop Users Domain Local no domínio AI, não posso chegar lá porque não vejo o domínio C em locais no domínio A.

    Isso pode ser pedante, mas eu pessoalmente não adicionaria um usuário ao grupo Remote Desktop Users Domain Local. Eu apenas aninharia grupos de segurança lá, não usuários/contas individuais. Os artigos do TechNet vinculados abaixo também recomendam o uso e o aninhamento de grupos de segurança de controle de acesso baseado em função como prática recomendada, em vez de atribuir permissões para indivíduos a recursos.

    De qualquer forma, no link do TechNet abaixo:

    • Grupos com escopo local de domínio podem ter os seguintes membros: contas, grupos com escopo universal e grupos com escopo global, todos de qualquer domínio. Este grupo também pode ter como membros outros grupos com escopo local de domínio dentro do mesmo domínio.

    E,

    Para agrupar os usuários de uma floresta que requerem acesso semelhante aos mesmos recursos em uma floresta diferente, crie grupos universais que correspondam às funções do grupo global. Por exemplo, em ForestA, crie um grupo universal chamado SalesAccountsOrders e adicione os grupos globais SalesOrder e AccountsOrder ao grupo.

    Duas outras coisas a serem lembradas que podem ajudá-lo a atingir essa meta são Grupos restritos de política de grupo para adicionar o grupo desejado a Usuários de área de trabalho remota e o direito de usuário "Permitir logon por meio de serviços de terminal".

    Talvez você não consiga navegar graficamente pelas contas na outra floresta por meio de uma confiança transitiva, mas apenas digite o nome da conta totalmente qualificado, por exemplo , [email protected]ou DomainA\GroupInDomainA, etc.

    Mais recursos:

    http://technet.microsoft.com/en-us/library/cc772808(v=WS.10).aspx

    http://technet.microsoft.com/en-us/library/cc776499(v=ws.10).aspx

    • 3

relate perguntas