Untergeordnete Domänenanmeldungen für Cross Forest Trust-Domänen

7

Ich habe eine gesamtstrukturübergreifende Vertrauensstellung zwischen zwei Windows Server 2008 R2-Domänen / Gesamtstrukturen (Domänen- und Gesamtstrukturfunktionsebenen unter Windows Server 2008 R2). Die Domänen A und B sind die Gesamtstruktur-Stammdomänen in ihren jeweiligen Gesamtstrukturen, und Domäne C ist die untergeordnete Domäne von Domäne B.

A <-> B - C.

Die Vertrauensstellung ist eine bidirektionale transitive Gesamtstrukturvertrauensstellung, die mit einer gesamtstrukturweiten Authentifizierung konfiguriert ist. Wenn ich mir die TDO-Objekte in jeder Domäne ansehe, sehe ich, dass domainB ein TDO für domainA und domainC hat, domainC jedoch nur ein TDO für domainB. domainA hat ebenfalls ein TDO nur für domainB. Ich sehe dasselbe in Active Directory-Domänen und -Vertrauensstellungen in jeder Domäne.

Bei Auswahl der Dropdown-Liste "Anmelden bei" auf einem domainC-Computer werden nur domainB und domainC aufgelistet. Bei Auswahl der Dropdown-Liste "Anmelden bei" auf einem DomainB-Computer werden DomainB, DomainC und DomainA aufgelistet. Bei Auswahl der Dropdown-Liste "Anmelden bei" auf einem DomainA-Computer werden nur DomainA und DomainB aufgelistet.

Die gesamtstrukturübergreifende DNS-Namensauflösung funktioniert zwischen allen drei Domänen über bedingte Weiterleitungen zwischen Domäne A und Domäne B, und ich kann AD SRV-Einträge in Domäne A erfolgreich von Domäne C abfragen und umgekehrt.

Verstehe ich die Domain-Transitivität in einem Cross-Forest-Trust nicht? Sollte sich die Transitivität nicht von domainC zu domainA und umgekehrt erstrecken?

Bearbeiten

Basierend auf Ryans Antwort:

Ich habe angefangen, das Gleiche zu denken, aber ich habe keine Erfahrung aus erster Hand mit einem Forest Trust, in dem eine untergeordnete Domäne existiert, sodass ich nicht genau weiß, was ich sehen soll. Auch wenn zwischen den Domänen A und C Transivität bestehen sollte, bedeutet dies nicht unbedingt "Sichtbarkeit". Ich habe laufen nltest /dclist, nltest /dsgetdcundnltest /dnsgetdcund alle kehren erfolgreich von den Domänen A nach C und umgekehrt zurück. Was mich verwirrt hat, ist, dass beim Versuch, einen Benutzer zu einer lokalen Domänengruppe in Domäne AI hinzuzufügen, nur Domäne B in Standorten und nicht Domäne C angezeigt werden kann. Dies mag das erwartete Verhalten sein, scheint jedoch seltsam. Wenn ich beispielsweise einen Domänen-C-Benutzer zur Domäne "Remotedesktopbenutzer" hinzufügen möchte, kann die lokale lokale Gruppe in Domäne AI nicht dorthin gelangen, da Domäne C an Standorten in Domäne A nicht angezeigt wird. Es gibt keine Möglichkeit, a zu "verschachteln" Benutzer der Domäne C in einer Gruppe der Domäne B und fügen Sie dann die Gruppe der Domäne B der Gruppe der Domäne A hinzu (aufgrund des Gruppenbereichs). Wenn ich also Benutzern der Domäne C Zugriff gewähren möchte, um sich bei RDS-Servern in Domäne A anzumelden, wie würde ich das erreichen?

active-directory 
Joeqwerty
quelle

Antworten:

3

Ich glaube, was Sie im Dropdown-Feld "Anmelden bei" eines Mitglieds der Domäne C sehen, ist normales Verhalten. In diesem Dropdown-Feld werden nur die angrenzenden Domänen angezeigt (Transitiv zählt nicht). Dies sollte Sie jedoch nicht daran hindern, sich bei einem DomainC-Mitglied mit dem Benutzernamen DomainA \ joeqwerty oder joeqwerty @ DomainA anzumelden. Wenn es für Sie sehr wichtig ist, DomainA im Dropdown-Feld zu sehen, wenn Sie sich auf einem Computer in DomainC befinden, können Sie dies möglicherweise mit einer Verknüpfungsvertrauensstellung erreichen.

Dieses Dokument enthält einige ziemlich gute Weisheitsnuggets:

http://technet.microsoft.com/en-us/library/cc773178(v=WS.10).aspx

Sowie,

Suchgrenzen vertrauen

Wenn ein Client einen Vertrauenspfad sucht, ist die Suche auf Vertrauensstellungen beschränkt, die direkt mit einer Domäne eingerichtet wurden, und auf Vertrauensstellungen, die innerhalb einer Gesamtstruktur transitiv sind. Eine untergeordnete Domäne kann beispielsweise keine externe Vertrauensstellung zwischen ihrer übergeordneten Domäne und einer Domäne in einer anderen Gesamtstruktur verwenden. Dies liegt daran, dass ein vollständiger Vertrauenspfad erstellt werden muss, bevor ein Client beginnen kann, sich entlang des Pfads zu einer angeforderten Ressourcendomäne zu arbeiten. Windows Server 2003 unterstützt keine blinden Verweise. Wenn ein Client keinen Vertrauenspfad identifizieren kann, versucht er nicht, auf eine angeforderte Ressource in einer anderen Domäne zuzugreifen. Untergeordnete Domänen können keine externen Vertrauensstellungen oder Realm-Vertrauensstellungen für Sicherheitsbehörden außerhalb ihrer Gesamtstruktur identifizieren, da die TDOs, die diese Vertrauensstellungen darstellen, nur in der Domäne veröffentlicht werden, die die Vertrauensstellung gemeinsam nutzt. nicht zu globalen Katalogen. Clients sind sich daher der Vertrauensstellungen nicht bewusst, die ihre Domänen mit anderen Sicherheitsbehörden als ihren übergeordneten oder untergeordneten Domänen teilen, und können sie daher nicht für den Zugriff auf Ressourcen verwenden.

Bearbeiten

Basierend auf Ihrer Bearbeitung:

Wenn ich beispielsweise einen Domänen-C-Benutzer zur Domäne "Remotedesktopbenutzer" hinzufügen möchte, kann die lokale lokale Gruppe in Domäne AI nicht dorthin gelangen, da Domäne C an Standorten in Domäne A nicht angezeigt wird.

Dies mag pedantisch sein, aber ich persönlich würde der lokalen Gruppe "Remotedesktopbenutzerdomäne" überhaupt keinen Benutzer hinzufügen. Ich würde dort nur Sicherheitsgruppen verschachteln, nicht einzelne Benutzer / Konten. In den unten verlinkten TechNet-Artikeln wird außerdem empfohlen, rollenbasierte Sicherheitsgruppen für die Zugriffssteuerung als bewährte Methode zu verwenden und zu verschachteln, anstatt Ressourcen Ressourcen für Einzelpersonen zuzuweisen.

Wie auch immer, über den TechNet-Link unten:

• Gruppen mit lokalem Domänenbereich können die folgenden Mitglieder haben: Konten, Gruppen mit universellem Bereich und Gruppen mit globalem Bereich, alle aus einer beliebigen Domäne. Diese Gruppe kann auch andere Gruppen mit domänenlokalem Bereich innerhalb derselben Domäne als Mitglieder haben.

Und,

Um die Benutzer aus einer Gesamtstruktur zu gruppieren, die einen ähnlichen Zugriff auf dieselben Ressourcen in einer anderen Gesamtstruktur benötigen, erstellen Sie universelle Gruppen, die den globalen Gruppenrollen entsprechen. Erstellen Sie beispielsweise in ForestA eine universelle Gruppe mit dem Namen SalesAccountsOrders und fügen Sie der Gruppe die globalen Gruppen SalesOrder und AccountsOrder hinzu.

Zwei weitere Dinge, die Sie beachten sollten, um dieses Ziel zu erreichen, sind Gruppenrichtlinien-eingeschränkte Gruppen zum Hinzufügen der gewünschten Gruppe zu Remotedesktopbenutzern und das Benutzerrecht "Anmeldung über Terminaldienste zulassen".

Möglicherweise können Sie die Konten in der anderen Gesamtstruktur nicht über eine transitive Vertrauensstellung grafisch durchsuchen, sondern geben einfach den vollständig qualifizierten Kontonamen ein, z. B. GroupInDomainA@DomainA.comoder DomainA\GroupInDomainAusw.

Mehr Ressourcen:

http://technet.microsoft.com/en-us/library/cc772808(v=WS.10).aspx

http://technet.microsoft.com/en-us/library/cc776499(v=ws.10).aspx

Ryan Ries
quelle
Ich denke du hast recht Ryan. Es ist eine Frage der Nachbarschaft, nicht der Transitivität. Wenn ich ein Mitglied zu einer DomainA Domain Local-Gruppe hinzufüge und domainB unter Locations auswähle und darauf klicke, werden Advanced|Find Nowtatsächlich die Mitglieder von domainB und domainC aufgelistet. Aus irgendeinem Grund habe ich das nicht gesehen, wahrscheinlich weil ich nicht wusste, was ich erwarten sollte.
Joeqwerty
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.