Одностороннее доверие леса AD: невозможно перечислить пользователей из другого домена

Question

Одностороннее доверие леса AD: невозможно перечислить пользователей из другого домена

Итак, у нас есть два леса (AWS и On-Prem). Контроллеры могут общаться друг с другом, и одностороннее доверие работает нормально.

Здесь проблема.

Если я создаю общий ресурс на DC1 (в AWS), я могу предоставить доступ пользователям из другого промежуточного домена DC2. Но если я иду на сервер приложений APP1, который является членом DC1, я не могу перечислить пользователей и предоставить доступ. Единственное отличие состоит в том, что DC1 может общаться с другим DC в предварительном режиме, но APP1 не может общаться с DC2 в предварительном режиме.

Мой вопрос: требует ли сервер APP1 доступа к локальным DC2 DC.

Спасибо

0

active-directory trust-relationship

Источник

Kliment 10 авг '17 в 16:08

3 ответа

Другие вопросы по тегам active-directory trust-relationship

longneck 10 авг '17 в 16:25 2017-08-10 16:25 · Answer 1 · 2017-08-10 16:25

Да. Или вы можете установить RODC для домена On-Prem в AWS.

0

Источник

longneck 10 авг '17 в 16:25

Greg Askew 10 авг '17 в 16:30 2017-08-10 16:30 · Answer 2 · 2017-08-10 16:30

Да, если вы используете встроенные средства Windows, такие как Explorer или команда NET SHARE.

Если вам известен идентификатор безопасности (SID) субъекта безопасности, которому разрешен доступ, вы можете предоставить доступ к SID с помощью SETACL.

Пример предоставления разрешения на изменение доли:

SetACL.exe -on "YourShareName" -ot shr -actn ace -ace "n:S-1-5-21-1004326348-1532298959-727345543-260587;p:change"

Пример предоставления разрешения на изменение папки:

SetACL.exe -on "D:\FolderName" -ot file -actn ace -ace "n:S-1-5-21-1004326348-1532298959-727345543-260587;p:change"

Kliment 10 авг '17 в 23:02 2017-08-10 23:02 · Answer 3 · 2017-08-10 23:02

Спасибо, парни!

Мы не можем использовать предварительный RODC (не одобрен), и пока решение setacl работает, мы создали локальную группу домена на DC1 и добавили пользователей из DC2. Таким образом, нет необходимости открывать порты на APP1.

К вашему сведению, в соответствии с нашей политикой разрешен весь трафик, исходящий от локального к AWS, весь трафик, исходящий от AWS к локальному, запрещен.

Поскольку я пытался составить список пользователей APP1 (AWS) из DC2 (предварительно), мой запрос LDAP был заблокирован. Но создание локальной доменной группы на DC1 (AWS) и добавление пользователей DC2 (предварительная) работало, поэтому мне просто нужно было добавить эту группу к общему ресурсу на APP1 (AWS).