У меня есть установка Active Directory, состоящая из двух лесов:
Я создал 3 исходящих доверительных отношения в домене DMZ, 1 транзитивное доверие леса против корневого домена леса и 2 внешних нетранзитивных доверительных отношения (также называемых сокращенными доверительными отношениями).
Все DC во всех четырех доменах являются серверами глобального каталога.
Я попытался представить это ниже:
Теперь вот в чем проблема. Когда я предоставляю доступ к ресурсу в dmzRoot.tld
группе безопасности в childA
домен, он работает для пользователей в childA
которые входят в группу безопасности, но не для пользователей в childB
домен, даже если они являются членами группы безопасности в childA
.
Допустим, я хочу предоставить локальному администратору доступ к рядовому серверу в dmzRoot.tld
например. я добавить childA.ForestRoot.tld\dmzAdministrators
в локальную встроенную группу администраторов на рядовом сервере.
childA.ForestRoot.tld\dmzAdministrators
состоит из следующих членов:
Теперь, если я аутентифицируюсь как childA\dmzAdmin
, Я могу войти на рядовой сервер как локальный администратор, и если я посмотрю на вывод whoami /groups
, то childA.ForestRoot.tld\dmzAdministrators
группа четко указана.
Если я аутентифицируюсь как childB\superUser
однако я получаю сообщение о том, что учетная запись не авторизована для удаленного входа в систему. Если я проверю whoami /groups
для childB\superUser
счет, childA.ForestRoot.tld\dmzAdministrators
группа НЕ указана.
Это почти похоже на childA
групповые SID никогда не включаются в PAC при аутентификации childB
пользователи, даже если все DC являются GC.
Я отключил проверку PAC на машине в dmzRoot.tld, на которой я ее тестировал, но это не помогло.
Любые предложения относительно того, как я могу эффективно устранить эту проблему? Как мне проследить за аутентификацией, чтобы определить, где она не работает?
Оказывается, проблема была вызвана доверием Shortcut.
Когда проверка подлинности AD Kerberos проходит через домены, целевая область (т.е. dmzRoot.tld
) идентифицирует доверительные отношения, посредством которых исходная область пользователей (например, childA.ForestRoot.tld
) является доверенным доменом.
Поскольку оба транзитивного леса доверяют ForestRoot.tld
и внешнее доверие (сокращенное доверие) к childA
соответствует этому условию, целевая область должна выбрать одно, и ярлык доверия имеет приоритет (поскольку он явный) над неявным доверительным отношением в доверии леса.
поскольку Карантин фильтра SID по умолчанию включен для исходящих доверительных отношений, только идентификаторы безопасности из доверенной области (в данном случае childA
domain) будет учитываться при аутентификации, внешние идентификаторы безопасности будут отфильтрованы.
В заключение есть два решения этой проблемы:
dmzRoot.tld
доменНадеюсь, это имело смысл