none
Gruppo locale per il dominio RRS feed

  • Domanda

  • Ciao a tutti sono un nuovo utente e spero di fare chiarezza sul domain local group.

    Ho implementato due domini A e b dove A è il padre B il figlio quindi tra di loro sono stati legati in automatico da una relazione di trust transitiva.
    Il livello funzionale per entrambi è windows server 2008.

    Arrivo al punto ho creato su entrambi i server (per prova) un domain local group.
    Subito dopo ho creato una cartella condivisa nel dominio b e quando vado per assegnare i permessi riesco a vedere il gruppo locale di dominio creato nel dominio A.
    La mia domanda è: ma i permessi per i domain local group vanno assegnati solo per le risorse ubicate nel dominio in cui è stato creato il DL group?
    Cmq continuando.... ho creato una cartella condivisa nel dominio A però in questo caso quando vado ad assegnare i permessi non riesco a vedere (dopo aver selezionato il percorso per il dominio b) il domain local group creato in B.

    Qualcuno sà spiegarmi perchè? 

     



    venerdì 18 marzo 2011 23:24

Risposte

Tutte le risposte

  • leggi attentamente questo articolo della KB http://support.microsoft.com/kb/884417 che ti spiega le distinzioni tra i tipi di gruppi che puoi creare nei domini e come utilizzarli all'interno dei domini stessi e nelle relazioni di trust tra domini.

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 21 marzo 2011 07:47
    Moderatore
  • In aggiunta a quanto detto da Edo,

    verifica anche qui: http://technet.microsoft.com/it-it/library/cc730798.aspx

    Parli infatti di relazione di trust transitiva, ma non specifichi se uni o bidirezionale...


    Adriano - MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]adcoop.it
    lunedì 21 marzo 2011 08:18
  • Per definizione come da link di Edoardo ad un DL non possono essere assegnati permessi per risorse in un altro dominio. Per quanto riguarda le relazioni di trust è bidirezionale infatti se io creo una share esempio in sales.contoso.local posso assegnare permessi al DL creato in contoso.local ma se creo una share in contoso.local non riesco ad assegnare (nemmeno si vede il gruppo nell'elenco) i permessi al DL di sales.contoso.local per la share creata in contoso.local.

    allora la mia domanda è perchè se da definizione ai DL non possono essere assegnati permessi per risorse ubicate in domini diversi nel primo caso riesco nel secondo no?

    Ripeto è una relazione di trust transitiva bidirezionale.

    Non sono esperto come voi volevo capire perchè la definizione dice una cosa ed io riesco a farne un altra.

    L'unica cosa (potrei dire una cavolata ora....) che mi viene in mente è che essendo il DL del dominio padre contoso.local si possono assegnare i permessi per una share in sales.contoso.local viceversa trattandosi di un DL figlio creato in sales.contoso.local non può essere visto in contoso.local.

     

    lunedì 21 marzo 2011 09:49
  • Per definizione come da tuo link ad un DL non possono essere assegnati permessi per risorse in un altro dominio. Per quanto riguarda le relazioni di trust è bidirezionale infatti se io creo una share esempio in sales.contoso.local posso assegnare permessi al DL creato in contoso.local ma se creo una share in contoso.local non riesco ad assegnare (nemmeno si vede il gruppo nell'elenco) i permessi al DL di sales.contoso.local per la share creata in contoso.local.

    allora la mia domanda è perchè se da definizione ai DL non possono essere assegnati permessi per risorse ubicate in domini diversi nel primo caso riesco nel secondo no?

    Ripeto è una relazione di trust transitiva bidirezionale.

    Non sono esperto come voi volevo capire perchè la definizione dice una cosa ed io riesco a farne un altra.

    L'unica cosa (potrei dire una cavolata ora....) che mi viene in mente è che essendo il DL del dominio padre contoso.local si possono assegnare i permessi per una share in sales.contoso.local viceversa trattandosi di un DL figlio creato in sales.contoso.local non può essere visto in contoso.local.

    lunedì 21 marzo 2011 09:51
  • I gruppi DL dovrebbero essere visibili in entrambe le direzioni...

    Una verifica banale: sei sicuro che i gruppi creati siano entrambi DL? (per default i gruppi sono gòlobal......)


    Adriano - MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]adcoop.it
    lunedì 21 marzo 2011 10:49
  • Scusa perchè dici che i DL dovrebbero essere visti in entrambe le direzioni? secondo definizione non dovrebbero esser visti proprio cioè ai DL si possono assegnare i permessi solo per risorse presenti nello stesso dominio.

    Ma per stesso dominio si intende contoso.local, sales.contoso.local, dipartment.contoso.local?

    Forse è qui che faccio confusione........

    Oppure che ogni dominio figlio è cmq un dominio separato ed i DL di ogni dominio figlio non possono essere assegnati i permessi per risorse presenti in altri domini.

    Perdonatemi ma sono agli inizi ...... 

    Abbiate un pò di pazienza!!

    lunedì 21 marzo 2011 11:15
  • Forse, però, ti stanno già rispondendo egregiamente in:

    http://www.sysadmin.it/Forum/tabid/57/aft/6000/Default.aspx


    Adriano - MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]adcoop.it
    lunedì 21 marzo 2011 11:45
  • Ho provato come scritto in quel link ma io riesco sempre ad assegnare i permessi al DL di contoso.local per una share ubicata in child.contoso.local.

    Non so cosa dire

    lunedì 21 marzo 2011 12:01
  • Allora ho fatto un'altra prova ho installato due domini windows server 2003. Qui è come da definizione di Domain local group e cioè non è possibile assegnargli i permessi per risorse di altri domini.

    su server 2008 continuo a vederli

     

    lunedì 21 marzo 2011 18:08
  • forse non hai colto che il multipost in forum diversi è deprecato a meno che non venga esplicitamente dichiarato.
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    giovedì 24 marzo 2011 09:06
    Moderatore
  • Deprecare? Scusami cerco una soluzione a questo problema probabilmente sbaglio qualcosa o forse no ed è quello che voglio capire tutto qui. Nel momento in cui per esempio un altro utente di un altro forum riesce a darmi la soluzione la posterò in tutti gli altri forum in fondo siamo qui per imparare e per quanto esperti voi rispetto a me siete avrete sicuramente da imparare molto ancora.

    Questa non è una critica ma ritengo di essere un tipo che collabora. Tutto qui.

    Poi pensate ciò che volete non sono qui per convincervi del contrario ma per cercare una soluzione.

     

    giovedì 24 marzo 2011 18:57
  • Deprecare? Scusami cerco una soluzione a questo problema probabilmente sbaglio qualcosa o forse no ed è quello che voglio capire tutto qui.

    se ciascuna persona impegnata a trovare una soluzione per te pretendesse di essere pagata probabilmente non ti rivolgeresti ad una platea così vasta, inoltre avvisare preliminarmente che si sta chiedendo anche in altri forum si evita di far perdere tempo alla gente che magari ti da una soluzione già fornita altrove.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    domenica 27 marzo 2011 17:40
    Moderatore
  • Ok la prossima volta farò come dici ma non intendevo postare altrove perchè non mi avete saputo aiutarmi.

    Io stesso quando capirò perchè tutt'oggi ho questo problema lo posterò qui.

    Sperando di riuscirci........

    mercoledì 30 marzo 2011 09:45
  • Comunque se vi può ancora interessare ho trovato questi due articoli http://technet.microsoft.com/it-it/library/cc782416(WS.10).aspx e http://technet.microsoft.com/it-it/library/cc754612.aspx dove nel primo link dice che non è possibile rimuovere un trust trunsitivo biirezionale creato automaticamente quando si crea un dominio figlio ed il secondo spiega appunto che viene creato in automatico questo trust quando si collega un figlio al padre.

    Il secondo link in alto c'è anche scritto: Windows Server 2008, Windows Server 2008 R2.

    Infatti questo problema non l'ho avuto su due server 2003.

     

    mercoledì 30 marzo 2011 10:10
  • grazie a nome della community.

    ciao.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    mercoledì 30 marzo 2011 12:30
    Moderatore