none
группы AD в доверительных отношениях м/у лесами RRS feed

  • Общие обсуждения

  •  

    Есть лес A, в нем 1 домен А1

    Есть лем B, в нем 1 домен B1

     

    м/у лесами двухсторонние доверительные отношения, scope of authentication установлено в Allow authentication for all resources in the local forest.

     

     

    глобальные группы безопасности(Security Group - Global) доменa A1 хотелось бы добавить глобальные группы безопасности домена B1 - это возможно?

     

    на данный момент могу только добавлять глобальные группы безопасности(Security Group - Global) доменa A1 в локальные группы(Security Group - Domain Local) домена B1  - не совсем понял что это дает?

     

    пока нашел возможность решения - это добавления глобальных групп безопасности(Security Group - Global) доменa A1 в локальные группы соответствующих серверов.

    26 августа 2008 г. 4:19

Все ответы

  • Глобальные группы
    Доступны в любом контексте леса.
    Имена групп копируются в Глобальный Каталог.
    В режиме “Native Mode” возможно включение других глобальных групп.
    Глобальные группы могут иметь членов только из своего домена, зато все они видимы из любого домена.

     

    Универсальные группы
    Существуют только в режиме “Native Mode”.
    Хранятся в Глобальном Каталоге.
    Доступны в любом контексте леса.

    Универсальные группы могут иметь членов из других доменов (глобальные группы, унивесральные группы, уч.пользователей).

     

    Локальные группы
    Доступны в контексте своего домена.
    В режиме “Native Mode” возможно включение других локальных групп.
    Локальные группы могут иметь членов из разных доменов, но все эти члены видимы только внутри данного домена.

    26 августа 2008 г. 5:11
  •  sys_admin1 написано:

    глобальные группы безопасности(Security Group - Global) доменa A1 хотелось бы добавить глобальные группы безопасности домена B1 - это возможно?

    Нет, невозможно.

    Сделайте глобальную группу домена А1 универсальной (переключение типа - в свойствах группы безопасности), тогда сможете в нее включить членов из другого домена.

    26 августа 2008 г. 5:19
  • "Классическим" решением будет создание универсальной группы безопасности, в которую включаются нужные глобальные группы

    26 августа 2008 г. 5:43
  •  Ilgiz Mamyshev написано:
     sys_admin1 написано:

    глобальные группы безопасности(Security Group - Global) доменa A1 хотелось бы добавить глобальные группы безопасности домена B1 - это возможно?

    Нет, невозможно.

    Сделайте глобальную группу домена А1 универсальной (переключение типа - в свойствах группы безопасности), тогда сможете в нее включить членов из другого домена.

     

     

    не работает, возможно по причине того что домены А1 и B1 находятся в разных лесах?
    26 августа 2008 г. 5:50
  •  sys_admin1 написано:

    не работает, возможно по причине того что домены А1 и B1 находятся в разных лесах?

    да,в этом случае безопасности надо раздавать в домене локальными группами, а уже в них включать  группы с пользователями (глобальные или уневерсальные), желательно юзеров в локальные не включать, и уж точно не раздавать на уровне учеток. Сам долго переделывал когда сьехались различные домены, в рекомендациях от MS это все есть, но не очень прозрачно Sad.

    26 августа 2008 г. 6:52
  • Вот сравнение разных стратегий применения групп безопасности http://powercerts.com/mcse/group_strategy_facts.html

     

    26 августа 2008 г. 7:37
    Модератор
  •  

    возникла проблемма.

     

    при добавление групп из домена A1 в локальные группы серверов домена B1 - все ОК

     

    наоборот же при попытке добавить глобальную группу домена B1 в локальную группу какого нибудь сервера домена A1 выходит сообщение:

     

    The domain controllers required to find the selected objects in the following domains are not available:

    B1.domain.ru

     

    Ensure the domain controllers are available, and try to select the objects again.

     

     

    причем check names проходит

    ошибка выходит при непосредственном нажатии ОК.

    26 августа 2008 г. 9:03
  • Не используйте локальные группы серверов - используйте локальные группы домена!

     

    26 августа 2008 г. 9:33
    Модератор
  •  

    при использовании локальных групп домена ошибка та же.
    26 августа 2008 г. 10:13
  •  

    причем если добавлять пользователей с PDC эмулятора этой ошибки уже нет.

    в домене А1 (3 домен контроллера)

     

    при просмотре членов соответствующей группы не на PDC эмуляторе выходит сообщение:

     

    Some of rhe object names cannot be shown in their user friendly dorm.

    This can happen if the object is from an external domain and that domain is not available to translate th object's name.

     

    Вместо имени члено группы выходит CN=S-1-5-21-... и т.д.

    27 августа 2008 г. 5:37
  • Настрйки DNS на сетевых интерфейсах у PDC и у других контроллеров одинаковые? (точнее не одинаковые, а подобные)

    27 августа 2008 г. 5:47
  • Подобные.


    В сети 2 сегмента. домен контроллеры A11, A12, A13

    A11 в первом сегменте. - все работает.

    A12 в 2х сегментах одновременно(2 интерфейса) - как раз возникает эта ошибка.

    A13 во втором сегменте. - все работает.

     

    настройки DNS на интерфейсах домен контроллерах.

    Primary - сам на себя по присвоенному IP

    Sec - 2-й домен контроллер в своем сегменте.

    27 августа 2008 г. 7:35

  • A12 в 2х сегментах одновременно(2 интерфейса) - как раз возникает эта ошибка.



    В этом скорее всего и трабл. MS рекомендует в случае двух интерфейсов на DC отменять на одном из них регистрацию в DNS. На этом кнтроллере точно необходимо два интерфейса?Чем это вызвано?
    27 августа 2008 г. 7:49