Я работаю в небольшой компании, принадлежащей более крупной. У меня есть пользователь в домене моей родительской компании: DomainA\MyUser.
Теперь мы купили собственный сервер и хотим иметь собственный домен. Я создал пользователя в новом домене с тем же именем пользователя, что и старое имя пользователя: DomainB\MyUser. Этот пользователь является администратором сети в DomainB.
Мой компьютер все еще в DomainA. Когда я вхожу туда как DomainA\MyUser, Я получаю все разрешения DomainB\MyUser на новом сервере (который является контроллером домена DomainB и не связан с DomainA).
Это даже если я установил DomainB\MyUser как неактивный.
Как это возможно??
Не работает с отключенным пользователем в DomainB. В последний раз, когда я пытался, я забыл убить все сеансы для пользователя.
Скриншоты при использовании удаленного рабочего стола: http://www.enalog.se/files/index.html (мертвых)
Подробности:
NEMOQ_AD это старый домен.ENALOG это новый домен. VOLDEMORT является контроллером домена ENALOG.Peter это пользовательКогда я набираю пользователя как MyUser@DomainA, Я не могу войти в систему. Почему это работает с DomainA\MyUser?
Каждый логин на ваших скриншотах - это пользователь ENALOG\Peterне NEMOQ_AD\Peter.
Неважно, что ты набор текста домен NEMOQ_AD\Peter, поскольку NEMOQ_AD это не домен, ENALOG трасты. (Увидеть ниже.)
Обратите внимание, что вы не видите NAMOQ_AD где угодно, когда вы подключились к Voldemort.
NTLM поддерживает то, что называется сквозная аутентификация. Важная часть статьи находится здесь: (курсив мой)
- Если указанное доменное имя не является доверенным для домена, запрос аутентификации обрабатывается на компьютере, к которому подключен, как если бы указанное доменное имя было этим доменным именем. NetLogon не делает различий между несуществующим доменом, ненадежным доменом и неправильно набранным доменным именем.
Происходит следующее:
Voldemort получает запрос на аутентификацию пользователя NEMOQ_AD\Peter.Voldemort видит это NEMOQ_AD не является ни его собственным доменом, ни каким-либо доменом, которому он доверяет.ENALOG\Peter вместо.ENALOG\Peter (как вы сказали в другом комментарии), аутентификация проходит успешно.Когда вы получаете доступ к общему диску, вы должны использовать NTLM (любая попытка использовать Kerberos не удастся, поскольку ENALOG не доверяет NAMOQ_AD) с использованием сквозной аутентификации, которая позволяет вам получать доступ к сетевым ресурсам без ввода пароля. Это работает только при использовании учетных записей с одинаковыми именами и одинаковыми паролями на двух машинах.
Когда вы вводите пароль при использовании Удаленного рабочего стола, он ведет себя так же, как если бы вы пытались войти в систему как ENALOG\Peter вместо того NEMOQ_AD\Peterи используя тот пароль, который вы ввели. Таким образом, если вы введете Peter в качестве имени пользователя локальный компьютер отправляет NEMOQ_AD\Peter поскольку это единственный домен, о котором он знает, но удаленный компьютер решает попробовать ENALOG\Peter вместо.
Я предполагаю, что SQL Server Management Studio использует ту или иную стратегию (возможно, вторую), я не знаю точных деталей ее реализации и у меня нет двух доменов, чтобы проверить ее.
Стивен Дженнингс уже подробно ответил на него, но я просто из любопытства думаю, в чем причина отдельного домена в этом случае?
Есть много веских причин, но, как правило, поддержка нескольких доменов является проблемой, и не похоже, что кто-то сможет им управлять, а вместо этого просто создает типичные накладные расходы, связанные с поддержкой нескольких доменов для группы людей.
Почему бы не включить новый сервер в существующий домен, используя конфигурацию, чтобы ограничить его ресурсы вашей компанией. Вам нужен доступ к ресурсам материнской компании? Не доверяют ли администраторам головной компании?
Можете быть более конкретными? Что значит у вас одинаковые разрешения? Вы имеете в виду разрешения для файлов и папок? Что значит вы установили учетную запись userB как неактивную? Не существует такого понятия, как «неактивный». Вы имеете в виду, что вы отключили учетную запись userB?
Это невозможно. Что-то неправильно настроено.