none
Foresta multidominio e membership dei gruppi RRS feed

  • Domanda

  • Ciao a tutti,
    ho una foresta con 3 domini, in uno di questi domini "Disney" è presente il gruppo "Pippo" in questo gruppo ho inserito anche utenti di un altro dominio. Se consulto il tab "members" del gruppo vedo gli utenti mentre se guardo nel tab "member of" degli utenti dell'altro dominio non vedo il gruppo. Il Gruppo è un security group di tipo universal.
    Come mai non vedo il gruppo listato nel tab "member os" degli utenti?
    Foresta su Windows 2003 sp2

    martedì 28 agosto 2012 08:00

Risposte

Tutte le risposte

  • Ciao, si tratta di un comportamento normale dovuto alla progettazione di Active Directory. Il ruolo master infrastrutture (che per funzionare correttamente deve trovarsi su un DC non catalogo globale) si occupa dell'aggiornamento dei riferimenti in altri domini ( http://technet.microsoft.com/it-it/library/cc773108(WS.10).aspx ), ma l'enumerazione di singoli utenti viene comunque impedita per questioni di prestazioni. Per risolvere il problema dovresti aggiungere quindi gli utenti ad un gruppo dello stesso dominio e poi aggiungere solo quest'ultimo al gruppo dell'altro dominio.

    Per ulteriori informazioni ti consiglio la lettura di questo articolo (applicabile anche per Server 2003): http://support.microsoft.com/kb/237905

    Qui trovi anche una discussione: http://social.technet.microsoft.com/Forums/en-US/winserverDS/thread/19677c5c-e3ba-4631-be6f-29f9acfbbde1/


    martedì 28 agosto 2012 12:06
    Moderatore
  • Ciao, si tratta di un comportamento normale dovuto alla progettazione di Active Directory. Il ruolo master infrastrutture (che per funzionare correttamente deve trovarsi su un DC non catalogo globale) si occupa dell'aggiornamento dei riferimenti in altri domini ( http://technet.microsoft.com/it-it/library/cc773108(WS.10).aspx ), ma l'enumerazione di singoli utenti viene comunque impedita per questioni di prestazioni.

    da quanto leggo qui:

    "Quando si rinomina o si sposta un membro di un gruppo e tale membro risiede in un dominio differente rispetto al gruppo, è possibile che nel gruppo il membro non venga temporaneamente visualizzato. Il master infrastrutture del dominio del gruppo ha la funzione di aggiornare il gruppo in modo da visualizzare il nuovo nome o la nuova posizione del membro. Questo metodo consente di evitare che i membri dei gruppi associati a un account utente vengano persi quando l'account viene rinominato o spostato. Il master infrastrutture distribuisce l'aggiornamento tramite una replica multimaster."

    non sembra che sia così anzi sembra che si tratti di una semplice latenza nella replica.

    ma forse dovrebbero scrivere meglio il contenuto del primo articolo.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org


    martedì 28 agosto 2012 12:34
    Moderatore
  • anche 24h ore dopo non lo visualizzo
    martedì 28 agosto 2012 12:39
  • da quanto leggo qui:

    "Quando si rinomina o si sposta un membro di un gruppo e tale membro risiede in un dominio differente rispetto al gruppo, è possibile che nel gruppo il membro non venga temporaneamente visualizzato. Il master infrastrutture del dominio del gruppo ha la funzione di aggiornare il gruppo in modo da visualizzare il nuovo nome o la nuova posizione del membro. Questo metodo consente di evitare che i membri dei gruppi associati a un account utente vengano persi quando l'account viene rinominato o spostato. Il master infrastrutture distribuisce l'aggiornamento tramite una replica multimaster."

    non sembra che sia così anzi sembra che si tratti di una semplice latenza nella replica.

    ma forse dovrebbero scrivere meglio il contenuto del primo articolo.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org


    Però il problema della latenza di replica descritto credo che sia riferito solo alla lista "Membri" (cioè se non è visibile nemmeno l'utente nella lista membri del gruppo) non a quella del "Membro di" dell'utente, che non dovrebbe mai mostrare i gruppi di appartenenza in altri domini.

    mercoledì 29 agosto 2012 10:58
    Moderatore
  • da quanto leggo qui:

    "Quando si rinomina o si sposta un membro di un gruppo e tale membro risiede in un dominio differente rispetto al gruppo, è possibile che nel gruppo il membro non venga temporaneamente visualizzato. Il master infrastrutture del dominio del gruppo ha la funzione di aggiornare il gruppo in modo da visualizzare il nuovo nome o la nuova posizione del membro. Questo metodo consente di evitare che i membri dei gruppi associati a un account utente vengano persi quando l'account viene rinominato o spostato. Il master infrastrutture distribuisce l'aggiornamento tramite una replica multimaster."

    non sembra che sia così anzi sembra che si tratti di una semplice latenza nella replica.

    ma forse dovrebbero scrivere meglio il contenuto del primo articolo.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org


    Però il problema della latenza di replica descritto credo che sia riferito solo alla lista "Membri" (cioè se non è visibile nemmeno l'utente nella lista membri del gruppo) non a quella del "Membro di" dell'utente, che non dovrebbe mai mostrare i gruppi di appartenenza in altri domini.

    No no, il problema è inerente alla lista "membro di" dell'utente. Però se mi dici che i gruppi di altri domini non vengono mostrati il problema è risolto con la creazione di un gruppo omonimo nell'altro dominio.

    mercoledì 29 agosto 2012 12:01