none
Общий excel файл для двух лесов RRS feed

  • Общие обсуждения

  • Имеем лес 1, в нем 5 доменов. В моем домене на winserver 2012r2

    В домене 1 (не мой ) есть экселевский файл, которым пользуются сотрудники нашего домена 2. Доступ к этому файлу предоставляется путем добавления в группу безопасности, расположенной в домене 1. Пользователям домена 2 батником подключается шара, в которой этот файл.

    Этот файл нельзя пересоздать, перенести или еще какие либо манипуляции. Файл крайне важный.

    Мы создали свой лес, в нем один домен. Перед миграцией в него, проверяем все сервисы.

    Доверительные отношения между лесами настроены.

    Есть ли рабочий вариант, чтобы пользоваться  файлом из старого леса домена 1 в  новом лесу?



    23 ноября 2017 г. 11:37

Все ответы

  • Лес1 (старый)
    Лес2 (новый)
    В лесу1 уже есть группа доступа (универсальная). Она в домене1 леса1, мы этой группой/файлом пользуемся в домене2 леса1

    В лесу1 в имеющуюся универсальную группу, добавляем группу "Локальная в домене" леса2.
    Но при таком раскладе я не могу добавить юзера

    Указываем юзера, он находится. Но при нажатии кнопки "ОК" выходит предупреждение.

    Я в обоих лесах энтерпрайз админ.
    С стороны старого леса могу в оснастке "Домены и доверие" сменить лес
    А со стороны нового леса не могу "Не удалось сметить домен имядомена по следующей причине: Произошла локальная ошибка"
    Можете подсказать механизм проверки с обоих сторон, помимо оснастки

    • Изменено Pogreb 30 ноября 2017 г. 11:22
    30 ноября 2017 г. 11:20
  • Что еще нашел
    В AD "Домены и довери". В лесу1 в домене1 (корневой в лесу), ПКМ свойства, на вкладке "Отношения доверия" выбираю свойства.
    В появившемся окне на вкладке "Маршрутизация суффикса имен" есть ошибка см скрин
    Мой домен2 в лесу1 имеет имя: corp.mall.ru, в нем есть суффикс - *corpmall.ru
    имя нового леса - vld.corpmall.ru
    Из за этого может быть косяк? Можно как то это исправить?

    30 ноября 2017 г. 12:13
  • Имеем лес 1, в нем 5 доменов. В моем домене на winserver 2012r2

    В домене 1 (не мой ) есть экселевский файл, которым пользуются сотрудники нашего домена 2. Доступ к этому файлу предоставляется путем добавления в группу безопасности, расположенной в домене 1. Пользователям домена 2 батником подключается шара, в которой этот файл.

    Этот файл нельзя пересоздать, перенести или еще какие либо манипуляции. Файл крайне важный.

    Мы создали свой лес, в нем один домен. Перед миграцией в него, проверяем все сервисы.

    Доверительные отношения между лесами настроены.

    Есть ли рабочий вариант, чтобы пользоваться  файлом из старого леса домена 1 в  новом лесу?



    Если вы мигрируете пользователей и группы из старого леса/домена в новый с сохранением SID History, и если фильтрация SID History на доверительном отношении от старого домена к новому откллючена, то доступ у мигрировавших пользователей должен сохраниться (если доступ был назначен через членство пользователя в глобальной группе - напрямую или посредством включения её в локальную группу, - она должна быть предварительно смигрирована с сохранением SID History).

    Если же пользователи в новом домене заводятся как-то по-другому, то добавьте нужные разрешения для локальной группы - локальной доменной или локальной, определённой на файл-сервере (если разрешения уже даны  через какую-то локальную группу - используйте её) и включите в неё нужных вам пользователей и/или глобальные группы (другие типы групп не годятся) из нового домена/леса.

    PS Естественно, домен в старом лесу, в котором находится файл-сервер, должен доверять новому домену в новом лесу. Если доверительные отношения у вас настроены только в обратную сторону - добавьте нужное доверие.


    Слава России!

    30 ноября 2017 г. 14:21
  • Лес1 (старый)
    Лес2 (новый)
    В лесу1 уже есть группа доступа (универсальная). Она в домене1 леса1, мы этой группой/файлом пользуемся в домене2 леса1

    Универсальная группа, в каком бы лесу она бы ни была определена, для решения вашей задачи не годится (если, вы, конечно, не проводите миграцию с сохранением SID History, при которой все доступы сохраняются без дополнительных телодвижений): она не может включать членов доменов из другого леса, и она действует только в пределах своего леса.

    Слава России!

    30 ноября 2017 г. 14:25
  • При миграции пользователей это более менее понятно.

    Но что делать, когда в новом лесу создашь юзера и ему надо предоставить доступ.

    У меня на уровне доверия "Конфликт" из-за суффикса.

    С этим можно что то сделать? Или только переименование?


    • Изменено Pogreb 1 декабря 2017 г. 10:21
    1 декабря 2017 г. 8:48
  • Без доверия доступ работать не будет. А доверие между доменами с совпадающими именами (DNS или NetBIOS) действительно установить нельзя. Такие вещи, вообще-то, нужно было планировать заранее.

    Сейчас единственная возможность обеспечить доступ - использовать сохранённые учётные данные для доступа к нужному серверу из того леса, в котором он находится. Ну, или вводить их каждый раз вручную.


    Слава России!

    1 декабря 2017 г. 17:56
  • Удалил на время тестов одинаковый суффикс.

    Проверяю доверие, другая ошибка


    Из леса2 домена1 зашел на доменную шару леса1 домена1. Меня запросил пароль, я ввел пароль леса1 домена2 (т.к. я интерпрайз) шара открылась

    В чем косяк не могу понять

    • Изменено Pogreb 5 декабря 2017 г. 14:18
    5 декабря 2017 г. 14:16
  • PDC Emulator корня леса жив? Доступен?

    Слава России!

    5 декабря 2017 г. 15:04
  • Со стороны нового леса

    со стороны старого леса

    6 декабря 2017 г. 6:31
  • По вашему посту мне не понятен ответ на мой вопрос

    Слава России!

    6 декабря 2017 г. 8:22
  • Как мне тогда проверить живой или нет эмулятор PDC

    В понедельник ПК в домен в старом лесу ввел, значит в старом лесу все работает.

    6 декабря 2017 г. 8:31
  • Проверить просто: nltest /dsgetdc:корень.леса /pdc с любого компьютера, где есть nltest (на DC есть обязательно).

    Слава России!

    6 декабря 2017 г. 13:30
  • C леса2 домена1

    C:\Users\Администратор>nltest /dsgetdc:xxx.ru /pdc
               Контроллер домена: \\02.xxx.ru
          Адрес: \\10.60.07.5
         GUID DOM: 78865e16-f06f-4096-86e2-ece6443507dc
         Имя DOM: xxx.ru
      Имя леса: xxx.ru
     Имя сайта контроллера домена: MAINSITE
    Имя нашего сайта: MAINSITE
            Флаги: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN
    DNS_FOREST CLOSE_SITE FULL_SECRET WS DS_8 DS_9

    Команда выполнена успешно.

    С леса1 домена2

    C:\Windows\system32>nltest /dsgetdc:mall.ru /pdc
               Контроллер домена: \\DC7.abimall.ru
          Адрес: \\10.3.0.7
         GUID DOM: c269bed0-2d52-4930-a539-63da609338ef
         Имя DOM: mall.ru
      Имя леса: mall.ru
     Имя сайта контроллера домена: Default-First-Site-Name
    Имя нашего сайта: Default-First-Site-Name
            Флаги: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN
    DNS_FOREST CLOSE_SITE FULL_SECRET WS DS_8 DS_9
    Команда выполнена успешно.

    Все норм

    6 декабря 2017 г. 14:05
  • Может репликации какие прошли, но конфликтов теперь нет.

    В группу "Лакальная в домене" леса1 добавили юзера из леса2

    Но теперь я из консоли леса1 домена2 не могу подключить себе "Домены и доверие" леса2

    Пиишет "что отсутствуют разрешения"
    11 декабря 2017 г. 6:02
  • Всем спасибо за подсказки, конфликты убрал.

    Сетевой диск подключил старого леса, подключил в новом, файлы в нем открываются и создаются

    20 декабря 2017 г. 6:17