none
Login de usuarios en dominions y subdominios RRS feed

  • Pregunta

  • Estimados, les comento mi duda y desde ya agradezco su colaboración:

    Estoy montando un entorno de prueba (3 DC con windows 2008 Std) como les muestro a configuración, mi consulta es la sgte:

    root.loc

    a1.root.loc y b1.root.loc

    Las relaciones de confianza estan establecidas correctamente y DNS estría bien configurado tambien.

    Tengo usuarios creados en el dominio raiz y usuarios creados en cada subdominio, el problema es que no puedo iniciar sesion en ninguno de estos modos:

    1- Usuario que existe en root.loc no puede logearse en a1.root.loc o b1.root.loc (error de cuenta de us o contraseña)

    2- Usuario que existe en a1.root.loc o b1.root.loc no pueden logearse en root.loc (idem anterior)

    Preguntas:

    1- los usuarios solo pueden iniciar sesion en el dominio donde tienen su cuenta creada?

    2- Puede un usuario creado en a1.root.loc iniciar sesion en el dominio root (sin tener una cuenta creada ahi)?. Cómo?

    Nuevamente agradezco por aclarar mis dudas.

    Saludos!


    lunes, 22 de noviembre de 2010 14:06

Respuestas

  • Hola Andrés, dos aclaraciones

    Primero, un usuario normal no puede inciar sesión en un DC, lo que es lógico en condiciones normales, sólo lo puede hacer desde una estación de trabajo.
    Si estás haciendo pruebas en ambiente de laboratorio y te faltan máquinas, simplemente en la Default Domain Controllers Policy, en la parte de User Rights, agrega al grupo Domain Users

    Y la segunda aclaración, un usuario que está creado en el dominio a1.root.loc puede iniciar sesión en un equipo de los otros dominios del bosque (por omisión), pero debe indicar que él tiene la cuenta en su dominio, esto es "a1\usuario" o usuario@a1.root.loc en cualquier máquina del Bosque

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    miércoles, 24 de noviembre de 2010 16:16
    Moderador

Todas las respuestas

  • Hola,

    Por la aclaracion que haces, damos por aclarado que el problema no viene por DNS no?, para empezar, si viene por DNS, tendriamos errores de replicacion si los DCs tambien fuesen GC (chequeste esto?).

    Los usuarios que existen en un dominio, se pueden logear en otro siempre y cuando haya una relacion de confianza y si fueron asignados los permisos correspondientes para que el usuario se pueda logear en un equipo de otro dominio, aca estamos hablando puntualmente de DCs, con lo que tienes que chequear que el usuario de otro dominio, tenga permisos minimos de logon local.

    Haz una prueba, el usuario que esta en el dominio child, ponelo como "Administrator" del dominio root y ahi cheque que se pueda logear al DC del ROOT (siempre tener en cuenta que el dominio\usuario sea el correcto).

    Aguardo tus resultados.-

    Salu2


    Leonardo Ponti MCSA - MCSE - MVA - MAP
    lunes, 22 de noviembre de 2010 15:04
    Moderador
  • Una cuenta de usaurio pertence a un dominio, aunque el dominio luego esté en un bosque o árbol de dominios. Pero la seguridad, "la frontera" del usuario, es su dominio; por tanto, tú sólo uedes loguearte en un dominio en el que tu cuenta de usaurio exista; ahora, tu cuenta de usuario tendrá una serie de permisos de acceso y de seguridad establecida para acceder a recursos de esos otros dominios, pero el login como tal, sólo lo puedes hacer evidentemente donde el usuario exista.


    -------- Salu2!! Javier Inglés - Microsoft Active Professional 2010
    martes, 23 de noviembre de 2010 7:08
  • Una cuenta de usaurio pertence a un dominio, aunque el dominio luego esté en un bosque o árbol de dominios. Pero la seguridad, "la frontera" del usuario, es su dominio; por tanto, tú sólo uedes loguearte en un dominio en el que tu cuenta de usaurio exista; ahora, tu cuenta de usuario tendrá una serie de permisos de acceso y de seguridad establecida para acceder a recursos de esos otros dominios, pero el login como tal, sólo lo puedes hacer evidentemente donde el usuario exista.


    -------- Salu2!! Javier Inglés - Microsoft Active Professional 2010

    No puede votar su propia entrada

    Gracias Javier!,

    Entonces si quiero que algun usuario de un subdominio pueda iniciar sesion en el domino raiz o al revez, tengo que volver a crear la cuenta de usuario en cada dominio o subdomino donde quiera que este usuario pueda iniciar sesion?, es decir, un usuario cuya cuenta existe en a1.root.loc solo puede iniciar sesion en ese subdominio, de otro modo, si quisiera que ese usuario inicie sesion en root.loc  tengo que crearle una cuenta en ese dominio si o si?

     

    miércoles, 24 de noviembre de 2010 15:32
  • Hola,

    Por la aclaracion que haces, damos por aclarado que el problema no viene por DNS no?, para empezar, si viene por DNS, tendriamos errores de replicacion si los DCs tambien fuesen GC (chequeste esto?).

    Los usuarios que existen en un dominio, se pueden logear en otro siempre y cuando haya una relacion de confianza y si fueron asignados los permisos correspondientes para que el usuario se pueda logear en un equipo de otro dominio, aca estamos hablando puntualmente de DCs, con lo que tienes que chequear que el usuario de otro dominio, tenga permisos minimos de logon local.

    Haz una prueba, el usuario que esta en el dominio child, ponelo como "Administrator" del dominio root y ahi cheque que se pueda logear al DC del ROOT (siempre tener en cuenta que el dominio\usuario sea el correcto).

    Aguardo tus resultados.-

    Salu2


    Leonardo Ponti MCSA - MCSE - MVA - MAP


    Gracias Leonardo,

    Cuando intente hacer esto me aparecio un error "no tiene permisos para modificar este grupo". Esto lo probe estando loguado como Administrador del Dominio en cuestion

    miércoles, 24 de noviembre de 2010 15:56
  • Hola Andrés, dos aclaraciones

    Primero, un usuario normal no puede inciar sesión en un DC, lo que es lógico en condiciones normales, sólo lo puede hacer desde una estación de trabajo.
    Si estás haciendo pruebas en ambiente de laboratorio y te faltan máquinas, simplemente en la Default Domain Controllers Policy, en la parte de User Rights, agrega al grupo Domain Users

    Y la segunda aclaración, un usuario que está creado en el dominio a1.root.loc puede iniciar sesión en un equipo de los otros dominios del bosque (por omisión), pero debe indicar que él tiene la cuenta en su dominio, esto es "a1\usuario" o usuario@a1.root.loc en cualquier máquina del Bosque

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
    miércoles, 24 de noviembre de 2010 16:16
    Moderador
  • Hola Andrés, dos aclaraciones

    Primero, un usuario normal no puede inciar sesión en un DC, lo que es lógico en condiciones normales, sólo lo puede hacer desde una estación de trabajo.
    Si estás haciendo pruebas en ambiente de laboratorio y te faltan máquinas, simplemente en la Default Domain Controllers Policy, en la parte de User Rights, agrega al grupo Domain Users

    Y la segunda aclaración, un usuario que está creado en el dominio a1.root.loc puede iniciar sesión en un equipo de los otros dominios del bosque (por omisión), pero debe indicar que él tiene la cuenta en su dominio, esto es "a1\usuario" o usuario@a1.root.loc  en cualquier máquina del Bosque

     


    Guillermo Delprato - Buenos Aires, Argentina
    MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    Gracias Guillermo, me quedan mas claros los conceptos ahora.
    viernes, 26 de noviembre de 2010 15:08