none
Relacion de confianza y manejo de grupos RRS feed

  • Pregunta

  • Buenas tardes, ayúdenme a resolver esta duda:
    Tengo 2 controladores de dominio los cuales tienen los siguientes nombres respectivos, winser2008dc1 y winser2008dc2.. Los 2 segmentos de redes fueron unificados mediante un enrutador con otro windows server 2008 también, ademas he podido establecer la relación de confianza correctamente, ahora mi intencion es poder autenticar usuarios del dominio 1 al dominio 2 y viceversa y esto se puede hacer correctamente aun eliminando la relación de confianza... esta es mi primer duda.. que entonces como puede ser posible esto si la relacion de confianza ya ha sido eliminada ?¿¿ .... bueno ahora también quisiera poder hacer eso mediante el uso de grupos de usuario.. y me he estoy dando cuenta que cuando elijo tipo de grupo global o universal no puedo ver los recursos del otro dominio... pero cuando lo establezco el tipo en local ahi si me aparecen los recursos del otro dominio... lo mismo ocurre en viceversa.?¿¿ ... a que se debe esto? que sera que estoy haciendo mal?
    De antemano gracias.... 
    jueves, 3 de enero de 2013 17:48

Respuestas

  • Hola cmario1989!

    Ante todo tengo los siguientes supuestos:

    • Tenés dos bosques de Active Directory distintos: uno con dos controladores de dominio (winser2008dc1 y winser2008dc2) y otro con xxx controladores de dominio. ¿Esto es correcto? Ojo, una cosa es que tengas dos dominios pero pueden pertenecer a un mismo bosque de Active Directory. Supongo que no es tu caso, pero confirmamelo.
    • Estableciste una relación de confianza. ¿Como lo has hecho?

    No es posible que un usuario del dominio 1 acceda al dominio 2 sin la relación de confianza. Lo que si te puede pasar es que los usuarios "lleguen" a los servidores, dado que las redes se están viendo, y hasta es posible que un usuario de un dominio ingrese a recursos del otro dominio porque tenés permisos para "todos" en el recurso compartido. Pero no debería pasar si intentás loguearte a servidores del otro dominio o al acceder a recursos con permisos limitados. Chequealo!

    Ahora bien, con respecto al manejo de grupos y acceso a recursos del otro dominio/bosque, existen estrategias para hacer esto y consiste en la combinación de los grupos de usuarios: globales, locales y universales. Básicamente hay una estrategia cuando tenés un entorno multi-forest. Esta estrategia recomendada por Microsoft se conoce como "Role Based Access Controls" (RBAC) y se basa en la organización y combinación de usuarios en grupos dentro de otros grupos. Esta estrategia es la de AGDLP (iniciales de "account, global, domain local, permission"):

    • Las Cuentas de Usuario del dominio "A" van en grupos "Global Group" representando unidades de negocio (u organigrama, por ejemplo). Ejemplo: "RRHH_Group".
    • Los "Global Group" del paso anterior del dominio "A" van en grupos "Universal". Por ejemplo: "RRHH_Universal".
    • Los "Universal Group" del paso anterior del dominio "A" van dentro de grupos "Domain Local" del dominio "B", que representan permisos o accesos a recursos. Por ejemplo: "RecursosHumanos_Full".
    • Los grupos "Domain Local" del dominio "B" (en este ejemplo "RecursosHumanos_Full") son los que se asignan en la solapa permisos de la carpeta a la que querés darle acceso. En este caso, el grupo "RecursosHumanos_Rull" iría con full access a la carpeta "Recursos Humanos" del dominio "B".

    De esta forma, diste acceso a usuarios del dominio "A" a recursos del dominio "B" siguiendo las recomendaciones de Microsoft.

    Te paso un excelente material oficial al respecto:

    Esperamos tu feedback!

    Saludos!!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    • Marcado como respuesta Uriel Almendra martes, 13 de agosto de 2013 17:14
    jueves, 3 de enero de 2013 18:56
  • Hola Cmario1989!

    Tal como te comenta Guillermo, cuando existen dominios de un mismo bosque éstos comparten relaciones de confianza transitivas unos con otros. Existe, puntualmente, una confianza transitiva implícita entre dominios raíz de cada árbol del bosque. Y, por lo que veo aquí, tus dominios cumplen con ello (mismo bosque diferentes arboles).

    Te sugiero veas la siguiente info sobre bosques, dominio y confianzas:

    Saludos y esperamos tu feedback!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    • Marcado como respuesta cmario1989 sábado, 5 de enero de 2013 15:24
    viernes, 4 de enero de 2013 12:54

Todas las respuestas

  • Hola cmario1989!

    Ante todo tengo los siguientes supuestos:

    • Tenés dos bosques de Active Directory distintos: uno con dos controladores de dominio (winser2008dc1 y winser2008dc2) y otro con xxx controladores de dominio. ¿Esto es correcto? Ojo, una cosa es que tengas dos dominios pero pueden pertenecer a un mismo bosque de Active Directory. Supongo que no es tu caso, pero confirmamelo.
    • Estableciste una relación de confianza. ¿Como lo has hecho?

    No es posible que un usuario del dominio 1 acceda al dominio 2 sin la relación de confianza. Lo que si te puede pasar es que los usuarios "lleguen" a los servidores, dado que las redes se están viendo, y hasta es posible que un usuario de un dominio ingrese a recursos del otro dominio porque tenés permisos para "todos" en el recurso compartido. Pero no debería pasar si intentás loguearte a servidores del otro dominio o al acceder a recursos con permisos limitados. Chequealo!

    Ahora bien, con respecto al manejo de grupos y acceso a recursos del otro dominio/bosque, existen estrategias para hacer esto y consiste en la combinación de los grupos de usuarios: globales, locales y universales. Básicamente hay una estrategia cuando tenés un entorno multi-forest. Esta estrategia recomendada por Microsoft se conoce como "Role Based Access Controls" (RBAC) y se basa en la organización y combinación de usuarios en grupos dentro de otros grupos. Esta estrategia es la de AGDLP (iniciales de "account, global, domain local, permission"):

    • Las Cuentas de Usuario del dominio "A" van en grupos "Global Group" representando unidades de negocio (u organigrama, por ejemplo). Ejemplo: "RRHH_Group".
    • Los "Global Group" del paso anterior del dominio "A" van en grupos "Universal". Por ejemplo: "RRHH_Universal".
    • Los "Universal Group" del paso anterior del dominio "A" van dentro de grupos "Domain Local" del dominio "B", que representan permisos o accesos a recursos. Por ejemplo: "RecursosHumanos_Full".
    • Los grupos "Domain Local" del dominio "B" (en este ejemplo "RecursosHumanos_Full") son los que se asignan en la solapa permisos de la carpeta a la que querés darle acceso. En este caso, el grupo "RecursosHumanos_Rull" iría con full access a la carpeta "Recursos Humanos" del dominio "B".

    De esta forma, diste acceso a usuarios del dominio "A" a recursos del dominio "B" siguiendo las recomendaciones de Microsoft.

    Te paso un excelente material oficial al respecto:

    Esperamos tu feedback!

    Saludos!!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    • Marcado como respuesta Uriel Almendra martes, 13 de agosto de 2013 17:14
    jueves, 3 de enero de 2013 18:56
  • Gracias por la respuesta Pablo!
    Veras tengo un solo bosque en donde están los 2 controladores de dominio que te mencione, el otro servidor que especifique ahí lo único que hace es enrutar las direcciones ip de esas 2 maquinas que sirven como controladores de dominio, nada mas... 
    La relación de confianza la establecí de forma bidirecional, bueno en las pruebas que he hecho hasta ahora en una maquina con windows 7 es que al configurar esta maquina para que se una a un dominio especificado, por ejemplo winser2008dc1.com (ip 192.168.100.2) y la de w7(192.168.100.3) con el usuario udc1 que es el que esta en ese dominio,..... al momento de cerrar sesión y al querer entrar con el otro usuario del otro dominio udc2, ejemplo winser2008dc2.com\udc2, este si entra tranquilamente aunque no exista la relación de confianza?¿¿ bueno yo suponía que eso no debería de ser asi, pero ahora que usted dice que como las redes si se pueden ver, es posible que por eso es que pase...

    Bueno ahora con la explicación que usted me dio sobre el manejo de grupos si lo tengo mas clarito, pero en si lo que mas deseo es que no pase lo que le explique anteriormente que sin necesidad de relación de confianza, un usuario de otro dominio pueda loguearse tranquilamente en el otro...
    Gracias espero me pueda ayudar...
    viernes, 4 de enero de 2013 1:26
  • Gracias por la respuesta Pablo!
    Veras tengo un solo bosque en donde están los 2 controladores de dominio que te mencione, el otro servidor que especifique ahí lo único que hace es enrutar las direcciones ip de esas 2 maquinas que sirven como controladores de dominio, nada mas... 

    Si ambos *Dominios*, que no los Controladores de Dominio, están en el mismo Bosque entonces existe automáticamente una relación de confianza bidireccional entre ambos Dominios que *no* puedes evitar o quitar

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 4 de enero de 2013 10:14
    Moderador
  • Hola Cmario1989!

    Tal como te comenta Guillermo, cuando existen dominios de un mismo bosque éstos comparten relaciones de confianza transitivas unos con otros. Existe, puntualmente, una confianza transitiva implícita entre dominios raíz de cada árbol del bosque. Y, por lo que veo aquí, tus dominios cumplen con ello (mismo bosque diferentes arboles).

    Te sugiero veas la siguiente info sobre bosques, dominio y confianzas:

    Saludos y esperamos tu feedback!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    • Marcado como respuesta cmario1989 sábado, 5 de enero de 2013 15:24
    viernes, 4 de enero de 2013 12:54
  • Muchas gracias por su ayuda, ya entiendo mejor como son las cosas :)
    sábado, 5 de enero de 2013 15:26