none
trust non transitivo concedere accesso individuale RRS feed

  • Domanda

  • Buongiorno a tutti,

     

    ho creato un trust tra 2 domini esterni, trust bidirezionale non transitivo.

    Non transtivo, perchè se lo fosse, gli utenti del dominio A potrebbero accedere alle condivisione del dominio B e viceversa.

    Non voglio che accada questo, preferirei decidere man mano che ci sono le varie necessità quali sono gli utenti e le risorse a cui si possa accedere.

    Ecco perchè ho optato per un NON transitvio.

     

     

    Però non ho idea di come si concedano questi permessi selettivi.

     

    Confido in un vostro aiuto o link da leggere per capire bene come poter fare.

     

    Anticipatamente grazie,

     

    MarioAlpha


    MarioAlpha DC1 win2003std DC2 win2008R2ent Servizi in uso: wsus-wds-exchange2003-serverfax
    mercoledì 28 settembre 2011 09:15

Risposte

  • Ho risolto e mi rispondo da solo.

     

    Abilitando l'accesso in modo selettivo per poter concedere l'accesso alla risorsa bisognerà agire sulle protezioni del Computers in AD che si vuole esporrre al dominio esterno.

     

    La voce da abilitare sarà "Autenticazione Consentita"

     

    Passo e chiudo :-D


    MarioAlpha
    venerdì 30 settembre 2011 07:31

Tutte le risposte

  • mi sfugge una cosa da quello che hai detto: avendo configurato un trust come il tuo quali sono in definitiva allora i benefici che ottieni ?
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    mercoledì 28 settembre 2011 10:08
    Moderatore
  • Oltretutto la proprietà transitiva è un'altra cosa da quella che dici:

    Transitive Trusts

    Transitive trusts establish a trust relationship between two domains that is able to flow through to other domains, such that if domain A trusts domain B, and domain B trusts domain C, domain A inherently trusts domain C and vice versa

    Tratto da: http://support.microsoft.com/kb/310996/en-us

     

    Ciao

     


    Andrea Sistarelli
    MCT-MCSE-MCTS-CCNA
    mercoledì 28 settembre 2011 10:20
  • proprio per questo ho fatto la domanda :-)
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    mercoledì 28 settembre 2011 10:36
    Moderatore
  • OK :)
    Ovviamente mi riferivo al messaggio originale non al tuo...

    Ciao

     


    Andrea Sistarelli
    MCT-MCSE-MCTS-CCNA
    mercoledì 28 settembre 2011 10:39
  • Al momento nulla infatti.

     

    Ma tantomeno non voglio che gli utenti del dominio A possano acedere a qualsiasi risorsa condivisa sul dominio B e viceversa.

     

    Molto probabilmente ho usato la terminologia errata, quindi faccio che copiare qui, quanto letto sul sito technet.

     

    Autenticazione estesa a tutto il dominio
    Verranno automaticamente autenticati gli utenti nel dominio specificato per tutte le risorse nel dominio locale. Opzione consigliata se entrambi i domini appartengono alla stessa organizzazione.

     

    Autenticazione selettiva
    Non verranno automaticamente autenticati gli utenti dell'insieme di strutture specificato per le risorse nell'insieme di strutture locale. Dopo aver chiuso la finestra di dialogo, concedere accesso individuale a ciascun dominio e server da rendere disponibile per gli utenti nell'insieme di strutture specificato. Opzione consigliata se gli insiemi di strutture appartengono a organizzazioni diverse.

     

    Ora io opterei per il secondo metodo di autenticazioneossia selettivo, visto che si parla di due organizzazioni diverse, pertanto ripropongo la domanda:

     

    come si danno questi permessi selettivi ad un certo utente o server ?

     


    MarioAlpha DC1 win2003std DC2 win2008R2ent Servizi in uso: wsus-wds-exchange2003-serverfax
    mercoledì 28 settembre 2011 11:41
  • per ottenere la seconda dovrai semplicemente concedere l'accesso alle risorse che desideri perchè, di default, il permesso "dovrebbe" essere negato. mi spiego meglio (e ti esorto a fare un test). una volta creato il trust bidirezionale dovresti avere il gruppo di sicurezza Users che in realtà è diviso in due gruppi DominioA\Users e DominioB\Users. se tu gestisci il dominioA, le tue risorse avranno il diritto concesso a DominioA\Users mentre per il dominioB non ci sarà alcun permesso esplicitamente dato a meno che le tue risorse non abbiano permesso dato a Everyone. a quel punto potrai dare ad esempio il permesso a DominioB\Utente1 su una risorsa del dominioA.
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    mercoledì 28 settembre 2011 12:14
    Moderatore
  • Ciao Edoardo,

     

    prima di tutto grazie per l'aiuto.

     

    Di prove ne ho fatte e ti dico i risultati:

     

    Trust Bidirezionale con "Autenticazione Estesa"

    gli user del dominio "A" accedono a ogni pc / servizio del dominio "B" comprese sysvol e netlogon

    possono ad esempio connettersi e usare stampanti condivise sul server di stampa

    possono accedere alle condivisioni e altro ancora.

    Tutto questo pur avendo impostato a livello di condivisione e protezione SOLO il gruppo "DOMINOB\Users", gli user del dominioA ci accedono ugualmente.

    Poco carino a dir poco, come soluzione.

     

    Trust Bidirezionale  con "Autenticazione selettiva"

    in questo modo gli utenti del dominioA quando cercano di accedere a una share del dominioB \\server_dom_B\

    ottengonmo questo errore

     

    "Impossibile accedere a \\server_dom_B\ L'utente potrebbe non disporre dell'autorizzazione necessaria bla bla bla

    Impossibile trovare il testo del messaggio per il numero di messaggio 0x%1 nel file di messaggio per %2"

     

    In questo caso la cosa diventa troppo drastica :-(

    almeno, prima senza trust potevo quantomeno specificare delle credenziali e forzare il sistema.

     

    Spero di essere stato abbastanza chiaro.

     

     

     


    MarioAlpha DC1 win2003std DC2 win2008R2ent Servizi in uso: wsus-wds-exchange2003-serverfax
    mercoledì 28 settembre 2011 13:11
  • hai detto che la distinzione tra autenticazione estesa e selettiva l'hai trovata su internet.

    puoi postare l'url di quella pagina ?


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    giovedì 29 settembre 2011 07:24
    Moderatore
  • infatti è propio quello che serve a me un trust tra domini/foreste distinti e separati e il trust non può che essere non_transitivo. Un trast transitivo lo si crea all'interno della stessa struttura/foresta per poter gestire trust tra domini padre e figli o foreste "dello stesso insieme di strutture", che non è il mio caso.

     

    o sbaglio ?


    MarioAlpha DC1 win2003std DC2 win2008R2ent Servizi in uso: wsus-wds-exchange2003-serverfax
    • Modificato marioalpha giovedì 29 settembre 2011 14:09
    giovedì 29 settembre 2011 13:46
  • Ciao Edoardo,

     

    allora dei link che potrei citarti sono questi

    http://technet.microsoft.com/it-it/library/cc787646(WS.10).aspx

    http://technet.microsoft.com/it-it/library/cc738431(WS.10).aspx

    http://support.microsoft.com/kb/325874/it

     

    ma anche la guida in linea dello stesso sistema operativo cita le stesse righe.

     

    Al momento ho parzialmente risolto, nel senso che attualmente il trust è in "autenticazione Estesa"

    ma sulle share al posto di usare il gruppo "Users"  con il quale tutti "domino A e B" potevano accedere (vedi post precedete) sto utilizzando il gruppo Bult-in "Domain Users".

     

    In questo modo riesco a registrere gli accessi in modo piu selettivo.

     

    Ma non è proprio quello che volevo ottenere, poi è anche una questione di principio vole capire come si gestiscono autorizzazioni "selettive"

     

    Scusa se mi ripeto, ma abilitanto il trust bidirezionale con autenticazione selettiva non riesco neanche a poter accedere con credenziali diverse, mi ripopopne l'errore postato in precedenza.

     

    Nel dubbio e non volendo sporcare i domini esistenti ho tirato su 2 domini in virtuale per fare test e i risultati non sono cambiati.


    MarioAlpha DC1 win2003std DC2 win2008R2ent Servizi in uso: wsus-wds-exchange2003-serverfax
    • Modificato marioalpha giovedì 29 settembre 2011 14:13
    giovedì 29 settembre 2011 13:59
  • Ho risolto e mi rispondo da solo.

     

    Abilitando l'accesso in modo selettivo per poter concedere l'accesso alla risorsa bisognerà agire sulle protezioni del Computers in AD che si vuole esporrre al dominio esterno.

     

    La voce da abilitare sarà "Autenticazione Consentita"

     

    Passo e chiudo :-D


    MarioAlpha
    venerdì 30 settembre 2011 07:31