Назад | Перейти на главную страницу

Универсальные группы не работают через доверительные отношения доменов

У меня проблема с универсальными группами в доверии - членство в универсальной группе дает права из одного домена в лесу, но не из другого домена в том же лесу - я настроил тестовый набор учетных записей и групп, чтобы продемонстрировать и попробовать и изолировать и свести проблему к самому простому, насколько я могу.

Я знаю, что эта универсальная группа в доверии может работать - поскольку в одном из моих доменов членство в универсальных группах действительно работает. Кроме того, также работает членство пользователей в домене и в доверии. Мне нужно изолировать, почему другой домен в том же лесу не работает.

Мне нужны рекомендации по поводу того, что я могу искать - не стесняйтесь задавать вопросы Спасибо

Чтобы объяснить (ссылаясь на схему)

У меня есть два леса A.COM и Q.A.COM - Лес A.COM имеет четыре домена (A.COM, A.A.COM, E.A.COM и S.a.COM), а Q.A.COM имеет один домен (Q.A.COM)

Q.A.COM доверяет A.A.COM, E.A.COM и S.A.COM - это односторонние нетранзитивные трасты - единственные другие трасты являются трастами по умолчанию в лесу A.COM. Известно, что все эти доверительные отношения работают, и пользователи в каждом из этих доменов могут быть добавлены в группы в их собственном домене с членством в Q, чтобы получить доступ к ресурсам в Q.

У меня в этих доменах настроены следующие пользователи и группы

Name    Type                Domain      Member/Right 
UA      User                A.A.COM     Member of GS
UE      User                E.A.COM     Member of GS 
GS      Universal Group     S.A.COM     Member of GQ  
GQ      Domainlocal Group   Q.A.COM     Read rights to Folder

Пользовательский UA из домена A может получить доступ к папке, а пользовательский UE из домена E - нет.

Если я использую группы в домене A или E и добавляю их в группу GQ, тогда это работает. Это наш текущий способ решения проблемы.

Я вошел на членский сервер Q.A.COM и запустил группы WHOAMI для пользователя UA, и он показывает все ожидаемые группы GS и GQ.

Однако для пользовательского UE не показаны группы GS или GQ. При запуске на рядовом сервере Q.A.COM универсальная группа GS отображается правильно.

Так что я считаю, что это связано с билетами или керберо - и я читал об этом и продолжу, но я думаю, что я потерялся.

Наконец, еще кое-что, что я проверил, выглядит следующим образом. Сайты и службы были настроены таким образом, чтобы контроллеры домена из двух лесов правильно находили близкие контроллеры домена в другом лесу.

В каждом поддомене леса A.COM есть только один сервер без GC - на нем размещается роль хозяина инфраструктуры, поэтому я думаю, это означает, что все контроллеры домена имеют все универсальные группы, даже не GC, поскольку он является хозяином инфраструктуры.

Все серверы в Q.A.COM являются GC, но у него нет универсальных групп.

У нас есть брандмауэры во многих местах, но я не вижу отказов ни в одном из них во время доступа.

Я обнаружил, что в AD на входящем конце для КАЖДОГО доверия есть параметр, называемый фильтрацией SID. Фильтрация SID удаляет идентификаторы безопасности, которые не принадлежат доверенному домену. нам просто нужно выключить его, чтобы увидеть SID групп из других доменов.

Что нас смутило, так это то, что при установке доверия между Server 2000 и Server 2008 R2 используются значения по умолчанию.

Так что при настройке наших начальных трастов фильтрация была отключена. Более поздняя фильтрация трастов была включена. Что нас смутило, так это то, что все трасты на нашей стороне установил один и тот же человек, но на дальнем конце это был другой человек, поэтому мы заподозрили дальний конец.