none
Trust entre Florestas

    Pergunta

  •     Bom dia pessoal,

           Tenho 2 florestas em uma mesma sub-rede e um trust entre as 2 florestas (transitivo). Todo o compartilhamento de recursos funciona muito bem (pastas, arquivos,etc) com trust. Gostaria de saber se é possível fazer com que um usuário do dominio A que faz parte de uma floresta faça logon no dominio B que fazer parte de outra floresta.

             Somente com o trust isso não funcionou, existe algum meio de fazer isso sem exista uma conta de usuário no dominio B?

    Muito Obrigado,

     

    quinta-feira, 7 de setembro de 2006 13:34

Respostas

  • Ola Tiago

    Esta correto não funcionar. Vou te explicar porque..

    Dominio A - Floresta A --> usuario João da silva

    Dominio B - Floresta B --> usuario João da silva

    Se o usuario João da Silva do Dominio A, fizer logon e tentar utilizar recursos no Dominio B, oTrust ira possibilitar isto atraves dos Tickets Kerberos (TGT / TGS), pois o que o AD esta "enxergando" aqui é o SID de usuario.

    Se o usuario João da Silva do Dominio B quizer efetuar logon no Dominio A, isto não será possivel, pois o SID de usuario em questão refere-se ao Dominio B, apesar de termos um usuario com o mesmo nome no Dominio A.

    Abraços

     

    quinta-feira, 7 de setembro de 2006 13:45

Todas as Respostas

  • Ola Tiago

    Esta correto não funcionar. Vou te explicar porque..

    Dominio A - Floresta A --> usuario João da silva

    Dominio B - Floresta B --> usuario João da silva

    Se o usuario João da Silva do Dominio A, fizer logon e tentar utilizar recursos no Dominio B, oTrust ira possibilitar isto atraves dos Tickets Kerberos (TGT / TGS), pois o que o AD esta "enxergando" aqui é o SID de usuario.

    Se o usuario João da Silva do Dominio B quizer efetuar logon no Dominio A, isto não será possivel, pois o SID de usuario em questão refere-se ao Dominio B, apesar de termos um usuario com o mesmo nome no Dominio A.

    Abraços

     

    quinta-feira, 7 de setembro de 2006 13:45
  • Olá Denis,

        Muito útil a informação, obrigado :-)

       A necessidade aqui na empresa é fazer uma migração de dominio.

       Floresta A -> Dominio A -> Cerca de 500 Usuário e muitos recursos espalhados em vários servidores.

       Precisamnos migrar para:

       Floresta B -> Dominio B -> Atualmente nenhum usuário e nenhum servidor.

       O nosso maior problema é fazer essa migração da maneira mais transparente possível para os usuário. Então pensamos em fazer o trust, migrar os usuários usando o ADMT, pois pelo que li ele mantém o SID. Só que estamos "quebrando a cabeça" em uma maneira de tornar o mais fácil possível a reorganização as permissões dos recursos espalhados nos servidores, que estão inclusive em locais físicos diferentes.

       Alguém tem alguma sugestão?

     

    PS: Sou relativamente novo em soluções voltadas para Windows (nos ultimos 4 anos só trabalhei com outras plataformas), e estou impressionado com o technetbrasil, com a quantidade equalidade de informações, organização, WebCasts (Muito legal!) e o empenho da comunidade.

    Obrigado,

     

    quinta-feira, 7 de setembro de 2006 14:07
  • Tiago.

    A Floresta/domino A vai "morrer" pos migração ??

    Voce esta preocupado com permissões NTFS, Sharing ??

    Abraços

    quinta-feira, 7 de setembro de 2006 14:22
  • Denis,

      A Floresta/dominio A vai morrer sim.

      Estou preucupado mais com as permissões NTFS, mas as de Sharing também terão que ser acertadas, porém é uma quantidade bem menor do que as permissões NTFS.

    []´s

     

    quinta-feira, 7 de setembro de 2006 14:39
  • Ola Tiago

    Se você não tem documentado as permissões para poder migra-las para a Floresta B, então para que começe  um novo permissionamento a nivel de Grupo.

    Não de permissões a arquivos ou pastas diretamente a usuarios.

    Estipule uma politica de acesso aos recursos e compartilhamento para que tenha um total controle de quem tem permissão no que em seus recursos.

    Abraços

    quinta-feira, 7 de setembro de 2006 22:00
  • Dennis,

    Gostaria de saber o que estaria faltando para as florestas se enxergarem....tendo a relação de confiança de ambos os lados, porque um usuário de uma floresta não poderia logar na outra floresta? Se elas já estão na mesma sub-rede não deveriam de enxergar? Queria ter uma luz melhor sobre isso, caso esteja "voando"....

    Obrigado

    Abraços

    sexta-feira, 8 de setembro de 2006 13:43
  • Ola Tony.

    Havia entendido que voce ja tinha conseguido efetuar o trust entre as florestas. Os usuarios da Foresta A nao conseguem acessar recursos na floresta B ?

    Existem alguns pre requisitos que devem ser levados em consideração para que o trust possa ser estabelecido

     

    Firewall

    http://support.microsoft.com/kb/179442/pt-br

    Windows NT - Windows 2003

    http://support.microsoft.com/kb/325874/pt-br

    Caso as florestas sejam Windows 2003, verifique o Function Level. Ambas devem estar em Windows 2003 para que o trust possa ser estabelecido.

    Para verificar o Function level da floresta voce pode abrir a console do Active Directory Domain and Trust, cliclar com o botão direito do mouse em Active Directory Domain and Trust, e escolher a opçãio Raise Forest Function Level.

    Veja esta artigo http://www.microsoft.com/technet/prodtechnol/windowsserver2003/pt-br/library/ServerHelp/31915de7-ff58-4f26-a8ec-450ffca75912.mspx?mfr=true

    Abraços

     

    sexta-feira, 8 de setembro de 2006 14:39
  • Oi dennis,

    Não fui eu quem abriu este assunto, foi um outro amigo nosso como você pode perceber. Eu só fiquei com dúvida quando vc relatou que um usuário de uma floresta não ia poder logar na outra floresta com o trust ja estabalecido. Foi isso?

    Creio que o trust corretamente estabelecido os usuários das 2 floresta vão se enxergar correto?

    Abraços

    sexta-feira, 8 de setembro de 2006 15:31
  • Opa Tonny.

    Não havia percebido.

    É isso mesmo. Com o Trust entre florestas estabelecido os usuarios, com as devidas permissões, conseguirão da Floresta A conseguirão acessar os recursos da floresta B, e vice e versa, porem para isto o trust deve ter sido estabelecido em Two-way.

    O que não será possivel é efetuar o logon no Dominio B/FlorestaB com um usuario do DominioA/FlorestaA. Foi então que expliquei a situação dos omonimos .. (João da Silva).

    Abraços

    sábado, 9 de setembro de 2006 13:25
  • Denis,

     

    Muito obrigado pela ajuda!

     

    Att,

    Tiago.

     

    segunda-feira, 11 de setembro de 2006 13:21