Назад | Перейти на главную страницу

Одностороннее доверие леса AD: невозможно перечислить пользователей из другого домена

Итак, у нас есть два леса (AWS и On-Prem). Контроллеры домена могут общаться друг с другом, и одностороннее доверие работает нормально.

Вот в чем проблема.

Если я создаю общий ресурс на DC1 (в AWS), я могу предоставить доступ пользователям из другого локального домена DC2. Но если я перейду на сервер приложений APP1, который является членом DC1, я не смогу перечислить пользователей и предоставить доступ. Единственное отличие состоит в том, что DC1 может взаимодействовать с другим DC локально, а APP1 не может общаться с DC2 локально.

Мой вопрос: требуется ли серверу APP1 доступ к локальным DC2?

Спасибо

Да, если вы используете встроенные инструменты Windows, такие как Проводник или команду NET SHARE.

Если вам известен идентификатор безопасности (SID) участника безопасности, которому нужно предоставить доступ, вы можете предоставить доступ к SID с помощью SETACL.

Пример предоставления разрешения на изменение доли:

SetACL.exe -on "YourShareName" -ot shr -actn ace -ace "n:S-1-5-21-1004326348-1532298959-727345543-260587;p:change"  

Пример предоставления разрешения на изменение папки:

SetACL.exe -on "D:\FolderName" -ot file -actn ace -ace "n:S-1-5-21-1004326348-1532298959-727345543-260587;p:change"

Да. Или вы можете разместить RODC для локального домена в AWS.

Спасибо, парни!

Мы не можем использовать локальный контроллер домена только для чтения (не утвержден), и, хотя решение setacl работает, мы создали локальную группу домена на DC1 и добавили пользователей из DC2. Таким образом, нет необходимости открывать порты на APP1.

К вашему сведению, в соответствии с нашей политикой весь трафик, исходящий из локальной сети в AWS, разрешен, весь трафик, исходящий из AWS в локальную среду, запрещен.

Поскольку я пытался перечислить пользователей в APP1 (AWS) с DC2 (локально), мой запрос LDAP был заблокирован. Но создание локальной доменной группы на DC1 (AWS) и добавление пользователей DC2 (on-prem) сработало, поэтому мне просто пришлось добавить эту группу в общую папку на APP1 (AWS).