Назад | Перейти на главную страницу

Как сделать так, чтобы группа безопасности из одного леса отображалась в другом лесу?

У меня есть два леса Win2k8, которые я обслуживаю. Два леса имеют полное двустороннее внешнее непереходное доверие друг к другу.

У меня есть папка в лесу X, домен countryX.mycompany.com, доступная ТОЛЬКО глобальной группе безопасности с именем $ group.

В лесу Y домен countryY.mycompany.com, countryY \ user1, countryY \ user2 и т. Д. Должен иметь доступ к папке.

Естественный инстинкт - поместить user1, user2 и т. Д. В группу $. Однако ни один из методов добавления пользователя в группу не работает, поскольку кажется, что AD не может найти группы в другом лесу.

Вопрос: 1. Как заставить леса видеть группы безопасности друг друга и иметь возможность добавлять? 2. Каков рекомендуемый способ добиться доступа пользователей к папкам / файлам в другом лесу на практике?

Различные типы групп имеют разную "видимость" в средах с несколькими доменами и лесами, как вы обнаружили (Microsoft может предоставить более подробную информацию). Глобальные группы, например, «видимы» только внутри домена, в котором они находятся, и могут содержать только пользователей из этого домена (из-за того, как хранятся идентификаторы безопасности пользователей-членов).

Рекомендации Microsoft по передовой практике следующие:

  • Создайте глобальную группу в каждом домене, чтобы в нее вошли члены из этого домена, соответствующие должности.

  • Создайте локальную группу домена в домене с ресурсом, который будет контролироваться, и предоставьте разрешения локальной группе домена этому ресурсу.

  • Вложите глобальные группы из каждого домена в локальную группу домена

В некоторых сценариях универсальная группа тоже может вступить в игру (когда ресурсы, которыми нужно управлять, обычно распределяются по нескольким доменам).

Есть красивые (правда, с забавным соотношением сторон) картинки в этой ветке форума Microsoft TechNet это может дать вам некоторую предысторию. Я бы также посоветовал посмотреть на Статья в Википедии сформировать еще фон.

Хотел бы я ответить на этот вопрос напрямую за вас, но есть некоторая информация, которую вам сначала нужно уточнить для себя. Прочтите эти вопросы и ссылки, и я уверен, что вы сможете заставить работать разрешения между лесами.

  1. Тип «внешнего доверия» может существовать только между доменами в двух лесах. Внешние доверительные отношения не подключаются на уровне леса. Это то, что у вас есть? Ссылка на сайт
  2. У вас есть межсетевой экран между двумя лесами? Если да, подтвердили ли вы, что требуемые порты открыты?
  3. Вы настроили DNS-серверы пересылки между двумя доменами?
  4. Просмотрите это руководство по группам безопасности в Active Directory. Вы можете вкладывать только определенные типы групп в другие, а при пересечении границ домена или леса вы еще больше ограничены в том, какие типы групп могут быть вложены.

Наконец, вот отличный ресурс в TechNet: Общие сведения о разрешениях для нескольких лесов.