none
Dove sono visibili i global group e universal? RRS feed

  • Domanda

  • Ciao a tutti scusami sono all'inizio e spero qualcuno mi sappia rispondere......

    Non riesco a capire la differenza tra universal e global group......

    In alcuni moc leggo che il global group che i global group sono visibile all'interno del suo dominio ed in domini trusted i quali domini fanno parte della stessa foresta ad esempio contoso.microsoft.msft ipotizzando che contoso e microsoft siano in trust il global group viene visto anche in microsoft.msft......

    mentre universal group dice che viene visto all'interno di tutti i domini della foresta e di altre foreste.

    Poi però leggo altrove che anche i global group vengono visti da altre foreste....

    Spero qualcuno mi chiarisca il concetto

    giovedì 29 gennaio 2015 16:26

Risposte

  • Poi che ho fatto ho creato prima un trust di tipo external tra lombardia.local e piemonte.local creo un global group su lombardia poi creo una cartella condivisa su piemonte quando vado a fare l'assegnazione di permessi in location find su lombardia.local mi trova il global group che secondo la definizione doveva essere visibile solo ed esclusivamente nel suo dominio quindi lombardia ed in tutti i domini di trust della foresta lombardia.local.

    Questo comportamento è perfettamente normale, come riportato anche nel link di NinoRCTN che ripropongo anche in italiano:

    https://msdn.microsoft.com/it-it/library/cc755692(v=ws.10).aspx 

    https://technet.microsoft.com/it-it/library/dd861330.aspx

    I gruppi globali sono giustamente visibili da altri domini (anche perché altrimenti non sarebbe possibile consolidarli in gruppi universali), forse quindi per il tuo scopo dovresti utilizzare gruppi locali al dominio.

    Come ulteriore conferma, riporto anche una tabella tratta da un libro su Active Directory:

    Quindi secondo me hai semplicemente frainteso il funzionamento degli ambiti dei gruppi ed in effetti ammetto che anche la documentazione ufficiale in alcuni punti è poco chiara.





    sabato 31 gennaio 2015 23:33
    Moderatore

Tutte le risposte

  • Ciao Nunzio, spero che le informazioni riportate di seguito possano andare bene:

    Group scope
    Global Groups vs Universal Groups vs Domain Local - Differences in brief?

    Saluti
    Nino


    ...esistono i motori di ricerca, facci un salto e troverai molte delle risposte che ti darò io.

    giovedì 29 gennaio 2015 16:51
    Moderatore
  • Ciao Nino grazie per avermi risposto. Ho letto ma non è chiaro li parla di chi può essere membro del gruppo global tra cui universal. Io volevo sapere se ad esempio un global group appartenente ad un dominio di una foresta viene visto da un altro dominio di un'altra foresta.

    Potresti farmi un esempio banalissimo senza troppi tecnicismi

    giovedì 29 gennaio 2015 17:14
  • Se fai un trust tra foreste dovrebbero essere visibili anche i gruppi dei relativi sottodomini a causa della transitività. Certo per migliorare le prestazioni sarebbe comunque meglio eseguire anche dei trust di collegamento tra i sottodomini delle foreste.

    https://msdn.microsoft.com/it-it/library/cc739693(v=ws.10).aspx

    giovedì 29 gennaio 2015 18:01
    Moderatore
  • Ciao allora ho fatto tutte le prove prima di rispondere: lombardia.local ( foresta A ) piemonte.local ( foresta B )  poi ho creato due domini child rispettivamente Milano e Torino; quindi abbiamo milano.lombardia.local e torino.piemonte.local due foreste....

    Allora parto dalle definizioni riportare anche sul link fornito da nino nel post global group visibile nel suo dominio e in tutti i domini di trust  i quali domini sono inclusi nella stessa foresta.....

    gruppi universali visibili in tutti i domini nella foresta (quindi indipendentemente dai trust ) ed in tutti i domini di di trust di altre foreste.

    Adesso secondo la tua risposta dei livelli di trust sul discorso child i global group vengono giustamente visti....

    Poi che ho fatto ho creato prima un trust di tipo external tra lombardia.local e piemonte.local creo un global group su lombardia poi creo una cartella condivisa su piemonte quando vado a fare l'assegnazione di permessi in location find su lombardia.local mi trova il global group che secondo la definizione doveva essere visibile solo ed esclusivamente nel suo dominio quindi lombardia ed in tutti i domini di trust della foresta lombardia.local.

    ed in questa configurazione anche se creo un global goup in milano.lombardia.local all'interno di piemonte.local io vedo il global group.

    Spero ora di esser più chiaro le ho provate tutte ma i global group me li ritrovo sempre davanti.....

    sabato 31 gennaio 2015 18:49
  • Poi che ho fatto ho creato prima un trust di tipo external tra lombardia.local e piemonte.local creo un global group su lombardia poi creo una cartella condivisa su piemonte quando vado a fare l'assegnazione di permessi in location find su lombardia.local mi trova il global group che secondo la definizione doveva essere visibile solo ed esclusivamente nel suo dominio quindi lombardia ed in tutti i domini di trust della foresta lombardia.local.

    Questo comportamento è perfettamente normale, come riportato anche nel link di NinoRCTN che ripropongo anche in italiano:

    https://msdn.microsoft.com/it-it/library/cc755692(v=ws.10).aspx 

    https://technet.microsoft.com/it-it/library/dd861330.aspx

    I gruppi globali sono giustamente visibili da altri domini (anche perché altrimenti non sarebbe possibile consolidarli in gruppi universali), forse quindi per il tuo scopo dovresti utilizzare gruppi locali al dominio.

    Come ulteriore conferma, riporto anche una tabella tratta da un libro su Active Directory:

    Quindi secondo me hai semplicemente frainteso il funzionamento degli ambiti dei gruppi ed in effetti ammetto che anche la documentazione ufficiale in alcuni punti è poco chiara.





    sabato 31 gennaio 2015 23:33
    Moderatore
  • Ah ecco adesso è chiaro chiedo scusa a Nino ma purtroppo io mi basavo su quello scritto sui libri che sono poco chiari, infatti io quando creo un global group in milano.lombardia.local e poi faccio un trust tra lombardia.local e piemonte.local, se creo una condivisione in piemonte.local e vado ad assegnare i permessi vedo i global group di lombardia.local ma non quello creato in milano ed ecco l'utilità degli universal group io creo un universal group in lombardia.local per tutta la foresta e gli metto anche i global group di milano che poi lo stesso gruppo universale verrà visto in piemonte.local; infatti volendo ma non è una strategia appunto microsoft si possono assegnare i permessi al global group di lombardia.local dopo il trust con piemonte.local perchè vengono appunto visti. Poi ho visto alcuni documenti sempre sul sito microsoft che parla di quando non esistevano gli universal group in versioni pre - 2000 e quindi ogni global group per poterlo essere visto in tutte le foreste si doveva creare una serie di trust tanti quanti sono i domini dei gruppi da trustare.

    Adesso la panoramica dei gruppi è molto chiara, mi auguro che in seguito microsoft nei suoi book sia più chiara in merito.

    Vi ringrazio per il chiarimento

    domenica 1 febbraio 2015 10:22
  • Ma quindi se tutti gruppi vengono visti sempre e comunque quindi anche in base ai livelli di trust a cosa servono gli UL se posso anche assegnare i permessi ai GL? Solo per una migliore gestione? Nel senso che con un UL posso aggiungere più GL anche di diversi domini cosa che non posso fare con un GL?
    domenica 1 febbraio 2015 14:37
  • I gruppi universali servono per "consolidare" i gruppi provenienti da domini differenti, quindi dal punto di vista "funzionale" l'unica differenza è che i gruppi globali possono invece contenere solo gli oggetti del dominio di origine.

    Per quanto riguarda invece il loro utilizzo:

    Di solito l'accesso alle risorse viene controllato con i gruppi locali al dominio, che hanno come membri dei gruppi globali che a loro volta hanno come membri gli account utente del solo dominio. Considera però il caso in cui si hanno molti domini, con molti gruppi globali che devono però avere accesso alla stessa risorsa di un dominio o a più risorse in domini differenti. In tal caso è possibile creare un gruppo universale che incorpori tutti i gruppi globali interessati e aggiungere tale gruppo come membro di uno o più gruppi locali.



    domenica 1 febbraio 2015 15:27
    Moderatore