Назад | Перейти на главную страницу

Проверка подлинности AD между лесами - группы отсутствуют в PAC

У меня есть установка Active Directory, состоящая из двух лесов:

Я создал 3 исходящих доверительных отношения в домене DMZ, 1 транзитивное доверие леса против корневого домена леса и 2 внешних нетранзитивных доверительных отношения (также называемых сокращенными доверительными отношениями).

Все DC во всех четырех доменах являются серверами глобального каталога.

Я попытался представить это ниже:

Теперь вот в чем проблема. Когда я предоставляю доступ к ресурсу в dmzRoot.tld группе безопасности в childA домен, он работает для пользователей в childA которые входят в группу безопасности, но не для пользователей в childB домен, даже если они являются членами группы безопасности в childA.

Допустим, я хочу предоставить локальному администратору доступ к рядовому серверу в dmzRoot.tld например. я добавить childA.ForestRoot.tld\dmzAdministrators в локальную встроенную группу администраторов на рядовом сервере.

childA.ForestRoot.tld\dmzAdministrators состоит из следующих членов:

Теперь, если я аутентифицируюсь как childA\dmzAdmin, Я могу войти на рядовой сервер как локальный администратор, и если я посмотрю на вывод whoami /groups, то childA.ForestRoot.tld\dmzAdministrators группа четко указана.

Если я аутентифицируюсь как childB\superUser однако я получаю сообщение о том, что учетная запись не авторизована для удаленного входа в систему. Если я проверю whoami /groups для childB\superUser счет, childA.ForestRoot.tld\dmzAdministrators группа НЕ указана.

Это почти похоже на childA групповые SID никогда не включаются в PAC при аутентификации childB пользователи, даже если все DC являются GC.

Я отключил проверку PAC на машине в dmzRoot.tld, на которой я ее тестировал, но это не помогло.

Любые предложения относительно того, как я могу эффективно устранить эту проблему? Как мне проследить за аутентификацией, чтобы определить, где она не работает?

Оказывается, проблема была вызвана доверием Shortcut.

Когда проверка подлинности AD Kerberos проходит через домены, целевая область (т.е. dmzRoot.tld) идентифицирует доверительные отношения, посредством которых исходная область пользователей (например, childA.ForestRoot.tld) является доверенным доменом.

Поскольку оба транзитивного леса доверяют ForestRoot.tld и внешнее доверие (сокращенное доверие) к childA соответствует этому условию, целевая область должна выбрать одно, и ярлык доверия имеет приоритет (поскольку он явный) над неявным доверительным отношением в доверии леса.

поскольку Карантин фильтра SID по умолчанию включен для исходящих доверительных отношений, только идентификаторы безопасности из доверенной области (в данном случае childA domain) будет учитываться при аутентификации, внешние идентификаторы безопасности будут отфильтрованы.

В заключение есть два решения этой проблемы:

  • Удалите внешние доверительные отношения и положитесь на доверие леса. Поскольку доверие леса является транзитивным, все идентификаторы безопасности всего леса останутся в вашем токене.
  • Отключить карантин фильтра SID об исходящем доверии от dmzRoot.tld домен

Надеюсь, это имело смысл