none
Groupe de domaines locaux multi domaine - mono foret RRS feed

  • Question

  • Bonjour,

    Je suis face à un défaut de compréhension Active Directory et j'espère que quelqu'un pourra m'éclairer. Voici le contexte:

    J'ai le domaine toto.local en WinServ 2019, domaine racine de la forêt et le domaine tutu.local en WinServ2019 qui est un nouveau domaine dans une forêt existante (toto.local). J'ai donc une foret avec deux arbres (toto.local et tutu.local)
    J'ai sur chaque DNS, ajouté un redirecteur conditionnel pour l'autre domaine. 
    Tout ce passe bien, tout le monde vois tout le monde etc. 
    Depuis le domaine toto.local, avec le compte administrateur (et donc admin de l'entreprise), j'arrive sans problème à explorer l'AD voisin tutu.local et y créer des comptes etc. Idem dans l'autre sens (Bon juste consulter, je ne peux pas créer car le compte administrateur du domaine tutu.local n'est pas admin de l'entreprise...).

    Les authentifications croisées fonctionnent également etc. 

    Et c'est ce qui va suivre qui m'a mis des sacrés doute sur mes connaissances AD...

    Dans le domaine toto.local, j'ai créé le groupe de domaine local GDL_GLPI-SUPERADMIN.
    <PointTechnique>
    Les groupes de domaine locaux peuvent accueillir des membres de tous les domaines de la forêt mais leurs portée d'utilisation se limite aux ressource membre du domaine de rattachement (Création)

    </PointTechnique>

    Dans le domaine tutu.local, j'ai créé le compte utilisateur suivant: matthieu
    Je retourne ensuite sur le domaine toto.local, édite le groupe de domaine local "GDL_GLPI-SUPERADMIN" et lui ajoute l'utilisateur matthieu de l'autre domaine (après avoir changé l'emplacement de recherche). pas d'erreurs, nickel. => Derrière, la fonction GLPI pour laquelle j'avais besoin de faire ça ne fonctionne pas. Après un gpresult /R en étant connecté avec l'utilisateur matthieu, je m’aperçois qu'il n'est pas membre du groupe "GDL_GLPI-SUPERADMIN". 

    Je vais de ce pas (quelques clics de souris pour être honnête) voir sur l'AD tutu.local dans les propriétés du compte et dans "membre de", que Tchi mis à part "utilisateur du domaine". 
    Je retourne voir dans mon groupe "GDL_GLPI-SUPERADMIN", j'ai peut-être fait "annuler" au lieu de "ok" mais non! L'utilisateur est bien référencé comme membre du groupe. 
    Dès que je passe le groupe en "Groupe Universelle", ça fonctionne direct, le nouveau groupe d'appartenance remonte bien dans l'AD tutu.local mais si groupe de domaine local niet.

    La mauvaise foi commençant, moué 2019, pas à jour, ça sent le bug Microsoft tout ça. Je met donc à jour, change rien.
    Je recommence tout avec du 2012R2 idem... 
    Je capitule... 

    HELP ME... Les groupes universelles c'est moche dans mon cas,l es groupes de domaine locaux sont normalement fait pour ça et plus appropriés

    J'ai peut-être pas compris certaines notions vis à vis de l'utilisation de ces groupes mais tout mon entourage semble surpris de par ce comportement. Puis si jamais ils n'étaient pas fait pour accueillir des membres d'autres domaines de la forêt automatiquement approuvés, il ne me laisserai pas le faire. En effet, si je passe ces groupes en groupes globaux, je ne peux voir que les objets du domaine d'appartenance du groupe global. Ici, avec un groupe de domaine local, je peux vous tous les objets des autres domaines et les ajouter.

    Cordialement,

    Bailleul Matthieu

    lundi 22 juillet 2019 11:50

Toutes les réponses

  • Bonjour Matthieu,

    Je vous invite tout d'abord à vous rappeler de nouveau sur la différence entre les différents type de groupe Active Directory:

    https://blogs.technet.microsoft.com/arnaud_jumelet/2009/09/19/groupes-active-directory/

    Dans votre cas, si vous avez bien Toto.local et Tutu.local, il s'agit de deux différents forêts, vous devez donc faire une relation d'approbation dans les deux sens pour plus de flexibilité.

    Si vous avez un domaine parent (forêt) et un domaine enfant, à savoir Toto.local et Tutu.toto.local, il suffit juste de créer un groupe de domaine globale et ajouter les membres des deux domaines, il répondra normalement à votre besoin.

    Cordialement,

    SAAD Youssef

    ________

    Prière de ne pas oublier de marquer les réponses utiles comme solution, en vous remerciant!

    lundi 22 juillet 2019 13:06
  • Bonjour Youssef,

    Il ne s'agit pas de deux forêt séparées mais bien d'une seule forêt avec un premier domaine racine de la forêt et un second domaine dans une forêt existante donc aucune relation d'approbation nécessaire car il y a des relations d'approbation transitives bidirectionnelles implicites entre tous les domaines d'une même forêt. La preuve d'ailleurs car je vois tous les objets entre les domaines, peut ajouter/lier des membres de part et d'autres etc.

    N'hésitez pas à reprendre mon poste pour bien comprendre mon problème (ou alors fonctionnement normal mais j'aimerai comprendre le pourquoi du comment dans ce cas). 

    Bien cordialement,

    Bailleul Matthieu

    lundi 22 juillet 2019 18:24