none
TRUST TRA DOMINI MAP SHARE DI RETE WITH PREFERENCIES POLICY RRS feed

  • Domanda

  • Buonasera,

    una questione se potete essermi di aiuto.

    scenario:

    DOMINIO A ( dominio NT con pdc e bdc  e un fileserver membro di dominio)

    user dominio: pluto

    password : prova

    DOMINIO B (due DC win srv 2012 un client 8 membro di dominio)

    user dominio : pluto

    password : prova

    - Sul PDC del dominio A è configurata una share (SHARE) con permessi read-only per l'utente pluto.

    -Sul file server dominio A è configurata una share (SHARE2) con permessi read-only per l'utente pluto.

    Tramite preferencies policy(con win srv2012) vengono mappate le due share (appartenenti al dominio vecchio)  rispettivamente:

    X: SHARE

    Y: SHARE2

    PREMESSA:

    Il trust implicito esiste da tempo e consiste che se io ho un dominio a e un dominio b e creo un utente in ogni dominio con stesso samaccount name e password, non sarà necessario ridisegnare le permission sulle share di rete, cioè un utente nel nuovo dominio potrà accedere a tutte le share di rete  dove aveva i permessi lo stesso utente (nome utente + password) del vecchio dominio. Corretto?

    é un pò la " schifezza" che purtroppo si è fatta quando non si può mettere una macchina in dominio.

    ESEMPIO:

    ho una macchina win 7 che non può entrare in un dominio nt cosa faccio ? creo un utente a livello locale su win7 con lo stesso nome e password di un utente creato all'interno del dominio nt e banalmente l'utente potrà accedere alle share di rete di un file server in quel dominio.

    PROBLEMA:

    come mai nello scenario descritto se accedo a dominio B con il client win 8 mi viene mappata la share sul vecchio PDC e riesco ad accederci, mentre la share2 non mi viene mappata ?????

    e se provo a raggiungerla tramite percorso di rete mi chiede le credenziali? è corretto ?

    sembrerebbe che questo discorso di trust implicito è valido solo se le share stanno sul pdc vecchio, se per esempio stanno su un fs del vecchio dominio non riesco ad accederci e qui CADE IL DISCORSO

    $$$$$$$$questo problema nasce dal fatto che hanno messo delle share di rete su dei server meber server anzichè implementerà un beneamato cluster con uno storage magari conneso in iscsi MAGARI DICO èèèè....;-)$$$$$$$

    GRAzie a tuti anticipatamente

    MAttia Lodi

    giovedì 9 maggio 2013 18:49

Risposte

  • ciao,

    niente ho scritto un programma che permette di connettere le share sia del vecchio dominio che del nuovo a partire da dei file di testo, che andranno modificati opportunamente in base a quello alla risorsa che l'utente deve mappare...in più lo fa ciclicamente/iterativamente cioè se uno dei fs è giu quando torna su gli riconnette la share senza che un utente non faccia niente neanche il minimo logoff/logon (che è un po' quello che fa un cluster---->trasparente all'utente che vada giù o meno un fileserver).

    RISOLTO...

    grazie a entrambi comunque

    ML

    • Contrassegnato come risposta MSalterego mercoledì 15 maggio 2013 09:18
    mercoledì 15 maggio 2013 09:17

Tutte le risposte

  • Ciao, ma se hai un trust perchè aggiungi gli utenti in entrambe le strutture? non capisco. Il trust serve proprio per poter "pescare" le liste utenti dell'altro dominio, quindi quando li vai ad aggiungere sulla share ci metti quelli del dominio trustato o ancora meglio di solito si fanno dei gruppi per lavorare meglio. 

    Se il trust è 2 way trust deve funzionare così. Quindi il tuo problema potrebbe essere tutto li. Anche comunque se è trustato ad una via verso il dominio NT. 

    Devi controllare comunque le zone dns che siano replicate corrette su entrambi i domini (parlo di entrambi perchè non so se è a 2 vie o ad una via). 

    A.

    venerdì 10 maggio 2013 08:53
    Moderatore
  • Ciao,

    in realtà non ho un trust. Ma se io creo le utenze su un dominio a e dominio b con stesso nome e password posso accedere ai file server del vecchio dominio. Non c'è nessun trust tra domini. Io mappo le share che risiedono su un fileserver member of del vecchio dominio, usando le preferencies policy nel dominio 2012 su di un client win8.

    non so se mi sono spiegato..

    E' chiaro che se ho un trust bidirezionale posso loggarmi da un dominio verso l'altro e viceversa ed accedere ad entrambi i file server di entrambi i domini.Ovviamente poi deve essere configurato opportunamente il dns con conditional forwarders ecc ecc ma non è il mio caso...

    Il problema nasce proprio dal fatto che non voglio un trust.

    ML

    venerdì 10 maggio 2013 12:39
  • Si ok, ma c'è una vpn tra queste 2 sedi quindi? come ci arrivi ai server secondari dall'altra parte? al DC ok, ci arrivi perchè magari nei record DNS c'è il corretto record, ma se non hai gli altri record configurati ed un wins server come fai a girare per la rete B dalla rete A? e soprattutto questo problema ce l'hai da quando? da quando hai messo i 2012?

    A.

    venerdì 10 maggio 2013 13:43
    Moderatore
  • PREMESSA:

    Il trust implicito esiste da tempo e consiste che se io ho un dominio a e un dominio b e creo un utente in ogni dominio con stesso samaccount name e password, non sarà necessario ridisegnare le permission sulle share di rete, cioè un utente nel nuovo dominio potrà accedere a tutte le share di rete  dove aveva i permessi lo stesso utente (nome utente + password) del vecchio dominio. Corretto?

    Secondo me tutto il problema nasce dall'utilizzo di una procedura non supportata, che si basa su una "forzatura" nel sistema di autenticazione, che chiami "trust implicito" ma che in realtà è una cosa ben diversa. Ovvero se ho due domini differenti (oppure un pc in dominio e uno no) ed eseguo l'accesso con un account dotato dello stesso username e password in entrambe le parti, riesco in qualche modo ad accedere ugualmente alle risorse in maniera implicita (ovvero non immettendo una password). Tuttavia questa non è una vera e propria "procedura" e da quanto mi risulta non è supportata da Microsoft. Infatti le versioni recenti di Windows teoricamente non consentono più questa cosa richiedendo che al nome utente venga aggiunto anche il nome di dominio in maniera esplicita. E' facile quindi avere strani comportamenti del sistema operativo perché il funzionamento di tale meccanismo non è garantito, si potrebbe definire più un workaround.

    Secondo me il modo corretto è memorizzare le credenziali valide per il secondo dominio in fase di creazione dell'unità mappata (o utilizzare uno script per creare l'unità mappata) o creare un trust tra i due domini (ma con un dominio NT non credo che sia preferibile).


    venerdì 10 maggio 2013 14:47
    Moderatore

  • Secondo me il modo corretto è memorizzare le credenziali valide per il secondo dominio in fase di creazione dell'unità mappata (o utilizzare uno script per creare l'unità mappata) o creare un trust tra i due domini (ma con un dominio NT non credo che sia preferibile).


    secondo me tra un NT ed un 2012 non si può nemmeno fare il trust, ricordo che era retroattivo fino a 2003 e guardando non si trova nulla prima di 2003. Ma penso che anche se fa una mappata a credenziali uguali secondo me non passa lo stesso mi sa che il problema sta nell'autenticazione del kerberos ma non ho strutture da provare NT quindi lo ipotizzo soltanto. Penso che finchè non cambia il dominio NT li non ne esce.

    A.

     
    venerdì 10 maggio 2013 14:55
    Moderatore
  • Ciao a tutti

    primo tra le due sedi non c'è una vpn ma sono sulla stessa rete... due domini differenti su di una stessa subnet possono coesistere se stai migrando o sbaglio ?

    per fare dei trust ovviamente devi verificare i forest functional level dovresti migrare nt a 2003 portandolo al forest functional level 2003 "interim" e poi fare un trust con un 2012 con forest functional level 2008.Questo per fare il trust ma ripeto a me non interessa...

    @Fabrizio tu mi dici :

    crea uno script del tipo

    net use Y: \\serv00\share  /user:DOMINIOVECCHIO\pluto /persistent:no  che associero al logon utente tramite preferencies

    di modo che se su entrambi i domini ho lo stesso utente/password uguali accedo alle share del vecchio dominio. 

    come mi devo comportare se hanno lasciato dei FS in giro nel vecchio dominio con sopra share di rete ovunque ? soluzioni ??devo vederle dal nuovo dominio o no ?

    fino a che non dismetto questi fs e sposto tutti i dati aziendali magari su uno storage e tiro su un bel cluster (ridisegnando ovviamente permission)

    Grazie

    ML

    ML

    venerdì 10 maggio 2013 15:11

  • primo tra le due sedi non c'è una vpn ma sono sulla stessa rete... due domini differenti su di una stessa subnet possono coesistere se stai migrando o sbaglio ?

    per fare dei trust ovviamente devi verificare i forest functional level dovresti migrare nt a 2003 portandolo al forest functional level 2003 "interim" e poi fare un trust con un 2012 con forest functional level 2008.Questo per fare il trust ma ripeto a me non interessa...


    no, non sbagli, ma io ci penserei al trust...però non so le dimensioni della struttura, se dici "share ovunque" presumo sia grandina. Io calcolo sempre tutto in tempo=denaro quindi devi vedere quanto ti porta via cercare una soluzione di questo tipo. Se sei un sistemista interno hai tutto il tempo che vuoi, se sei un esterno il discorso cambia anche li comunque dipende dal forecast che ti sei prefisso per farlo.

    Ciao.

    A.

    venerdì 10 maggio 2013 15:23
    Moderatore
  • secondo me tra un NT ed un 2012 non si può nemmeno fare il trust, ricordo che era retroattivo fino a 2003 e guardando non si trova nulla prima di 2003.

    Si, infatti. Non preferibile nel senso che bisognerebbe mettere mani sul dominio NT e non so se gli conviene....secondo me se le dimensioni non sono eccessive è meglio rifarlo direttamente che tentare di aggiornarlo, così si evitano un po' di possibili problemi. Ad ogni modo una volta che ha un dominio sufficientemente aggiornato, con un trust (magari con autenticazione selettiva e/o unidirezionale) si potrà sicuramente gestire meglio l'accesso alle risorse.

    @Fabrizio tu mi dici :

    crea uno script del tipo

    net use Y: \\serv00\share  /user:DOMINIOVECCHIO\pluto /persistent:no  che associero al logon utente tramite preferencies

    di modo che se su entrambi i domini ho lo stesso utente/password uguali accedo alle share del vecchio dominio. 

    come mi devo comportare se hanno lasciato dei FS in giro nel vecchio dominio con sopra share di rete ovunque ? soluzioni ??devo vederle dal nuovo dominio o no ?

    fino a che non dismetto questi fs e sposto tutti i dati aziendali magari su uno storage e tiro su un bel cluster (ridisegnando ovviamente permission)

    Grazie

    ML

    In che senso "hanno lasciato share di rete ovunque"? Intendi forse dei collegamenti a share di rete?


    venerdì 10 maggio 2013 15:35
    Moderatore
  • allora un trust tra dominio nt e 2012 di sicuro non si può fare dovrei portare l'nt ad un 2003. in fase di upgrade al 2003 c'è una modalità che si chiama interim mode che permette di far replicare dei 2003 con gli nt, ok ? da questo poi configurando opportunamente il ffl sul 2012 potrei fare il trust.

    TRA UN NT E UN 2012 te lo scordi il TRUST....

    sul vecchio dominio hanno share di rete ovunque nel senso che hanno condiviso directory su svariati fs senza centralizzare nulla, magari su uno storage. Quindi banalmente gli utenti del nuovo dominio 2012 devono riagganciarsi alle share su questi fs (appartenenti al vecchio dominio ).

    ML

    lunedì 13 maggio 2013 07:56
  • Qui non c'è nessuno che sta dicendo che tra NT e 2012 si può fare un trust, vorrei chiarire questa cosa per evitare fraintendimenti.

    Comunque se non puoi aggiornare il dominio NT o rifarlo da capo (come stavo dicendo precedentemente) allora credo che dovrai far montare tutte le varie unità di rete oppure centralizzare il file server. Purtroppo non vedo altre soluzioni e il meccanismo che utilizzavi precedentemente secondo me non è praticabile.

    lunedì 13 maggio 2013 08:01
    Moderatore
  • Ciao assolutamente si il dominio nt l'ho rifatto da capo su piattaforma winsrv 2012, il problema era appunto il fatto di come mappare agli utenti del nuovo dominio le condivisioni di rete che avevo sui file share del vecchio dominio. Cioè in pratica nella situazione attuale dovrei tenere in piedi i due domini finchè non migro i fs...

    ML

    lunedì 13 maggio 2013 09:07
  • Ah, ok...avevo capito che si trattavano di due domini "in parallelo". Comunque, se è una cosa temporanea, direi di inserire tutti i collegamenti alle vecchie condivisioni all'interno di un'unica cartella condivisa e far inserire direttamente agli utenti nome utente e password del vecchio dominio. Dovranno comunque inserire queste seconde credenziali solo una volta al giorno (perché rimarranno memorizzate fino alla disconnessione), quindi direi che è un disagio minimo.
    lunedì 13 maggio 2013 11:18
    Moderatore
  • ciao,

    niente ho scritto un programma che permette di connettere le share sia del vecchio dominio che del nuovo a partire da dei file di testo, che andranno modificati opportunamente in base a quello alla risorsa che l'utente deve mappare...in più lo fa ciclicamente/iterativamente cioè se uno dei fs è giu quando torna su gli riconnette la share senza che un utente non faccia niente neanche il minimo logoff/logon (che è un po' quello che fa un cluster---->trasparente all'utente che vada giù o meno un fileserver).

    RISOLTO...

    grazie a entrambi comunque

    ML

    • Contrassegnato come risposta MSalterego mercoledì 15 maggio 2013 09:18
    mercoledì 15 maggio 2013 09:17