Назад | Перейти на главную страницу

Доменные имена на 2 одинаковых доменах Windows (активный каталог)

Я новичок в администрировании Windows (Server 2008r2), но я собираю новую среду и настраиваю домены активных каталогов.

Я разбил свою систему на 2 части: управленческую (mgt) и операционную (ops). Они обе являются частями одной системы, но их требования к доступности немного различаются.

Я решил назвать свою систему «vmnet». Я создал 2 домена, vmnet.ops и vmnet.mgt.

Я предполагал, что это будут совершенно разные домены, как сайты .com и .org.

К сожалению, когда я настраивал общий файловый ресурс на vmnet.mgt, я понял, что пользователю с таким же именем на vmnet.ops НЕ нужно вводить учетные данные для доступа к общему ресурсу.

Итак: 1) Папка на сервере домена MGT открыта для jake@vmnet.mgt через общий ресурс Windows. 2) Выполните вход на рабочую станцию ​​домена ops (jake@vmnet.ops) и попробуйте получить доступ к общей папке. 3) Это позволяет мне войти без ввода учетных данных. 4) Глядя на права доступа к общей папке в поле vmnet.ops, видно, что она используется совместно с jake@vmnet.ops 5) Глядя на фактическую общую папку с машины vmnet.mgt, утверждается, что она используется только для jake @ vmnet.mgt.

Кажется, здесь есть совпадения. Разные домены, должны иметь совершенно разные UID? Совсем нет перекрытий? Или я напортачил, и vmnet.ops и vmnet.mgt - это один и тот же домен, а .mgt / .ops не имеют значения?

Если в каждом домене есть пользователь jake с одним и тем же паролем, jake из одного домена сможет получить доступ к общим ресурсам в другом домене, потому что пароль тот же. Это работает так:

  1. Если jake @ domain1 обращается к ресурсам в domain1, пароль не отправляется в систему, на которой размещен ресурс, потому что jake получил токен безопасности при входе в домен, и этот токен безопасности используется для получения доступа.

  2. Если jake @ domain1 обращается к ресурсам, которые НЕ находятся в domain1 (то есть в domain2, или системе, которая не находится в домене), он передаст имя пользователя и пароль jakes в другую систему, и если учетные данные совпадают для jake пользователь в этом домене или компьютере, то Джейк получит доступ к этим ресурсам.