Remove From My Forums

Общий excel файл для двух лесов

Общие обсуждения
0

Нужно войти
Имеем лес 1, в нем 5 доменов. В моем домене на winserver 2012r2

В домене 1 (не мой ) есть экселевский файл, которым пользуются сотрудники нашего домена 2. Доступ к этому файлу предоставляется путем добавления в группу безопасности, расположенной в домене 1. Пользователям домена 2 батником подключается шара, в которой этот файл.

Этот файл нельзя пересоздать, перенести или еще какие либо манипуляции. Файл крайне важный.

Мы создали свой лес, в нем один домен. Перед миграцией в него, проверяем все сервисы.

Доверительные отношения между лесами настроены.

Есть ли рабочий вариант, чтобы пользоваться файлом из старого леса домена 1 в новом лесу?
- Изменено Pogreb 23 ноября 2017 г. 11:37
- Изменен тип Petko KrushevMicrosoft contingent staff, Moderator 29 ноября 2017 г. 6:52
23 ноября 2017 г. 11:37

Ответить

|

Цитировать

Все ответы

0

Нужно войти
Лес1 (старый)
Лес2 (новый)
В лесу1 уже есть группа доступа (универсальная). Она в домене1 леса1, мы этой группой/файлом пользуемся в домене2 леса1

В лесу1 в имеющуюся универсальную группу, добавляем группу "Локальная в домене" леса2.
Но при таком раскладе я не могу добавить юзера

Указываем юзера, он находится. Но при нажатии кнопки "ОК" выходит предупреждение.

Я в обоих лесах энтерпрайз админ.
С стороны старого леса могу в оснастке "Домены и доверие" сменить лес
А со стороны нового леса не могу "Не удалось сметить домен имядомена по следующей причине: Произошла локальная ошибка"
Можете подсказать механизм проверки с обоих сторон, помимо оснастки
- Изменено Pogreb 30 ноября 2017 г. 11:22
30 ноября 2017 г. 11:20

Ответить

|

Цитировать
0

Нужно войти

Что еще нашел
В AD "Домены и довери". В лесу1 в домене1 (корневой в лесу), ПКМ свойства, на вкладке "Отношения доверия" выбираю свойства.
В появившемся окне на вкладке "Маршрутизация суффикса имен" есть ошибка см скрин
Мой домен2 в лесу1 имеет имя: corp.mall.ru, в нем есть суффикс - *corpmall.ru
имя нового леса - vld.corpmall.ru
Из за этого может быть косяк? Можно как то это исправить?

30 ноября 2017 г. 12:13

Ответить

|

Цитировать
0

Нужно войти

Имеем лес 1, в нем 5 доменов. В моем домене на winserver 2012r2

В домене 1 (не мой ) есть экселевский файл, которым пользуются сотрудники нашего домена 2. Доступ к этому файлу предоставляется путем добавления в группу безопасности, расположенной в домене 1. Пользователям домена 2 батником подключается шара, в которой этот файл.

Этот файл нельзя пересоздать, перенести или еще какие либо манипуляции. Файл крайне важный.

Мы создали свой лес, в нем один домен. Перед миграцией в него, проверяем все сервисы.

Доверительные отношения между лесами настроены.

Есть ли рабочий вариант, чтобы пользоваться файлом из старого леса домена 1 в новом лесу?

Если вы мигрируете пользователей и группы из старого леса/домена в новый с сохранением SID History, и если фильтрация SID History на доверительном отношении от старого домена к новому откллючена, то доступ у мигрировавших пользователей должен сохраниться (если доступ был назначен через членство пользователя в глобальной группе - напрямую или посредством включения её в локальную группу, - она должна быть предварительно смигрирована с сохранением SID History).

Если же пользователи в новом домене заводятся как-то по-другому, то добавьте нужные разрешения для локальной группы - локальной доменной или локальной, определённой на файл-сервере (если разрешения уже даны через какую-то локальную группу - используйте её) и включите в неё нужных вам пользователей и/или глобальные группы (другие типы групп не годятся) из нового домена/леса.

PS Естественно, домен в старом лесу, в котором находится файл-сервер, должен доверять новому домену в новом лесу. Если доверительные отношения у вас настроены только в обратную сторону - добавьте нужное доверие.

Слава России!

30 ноября 2017 г. 14:21

Ответить

|

Цитировать
0

Нужно войти

Лес1 (старый)
Лес2 (новый)
В лесу1 уже есть группа доступа (универсальная). Она в домене1 леса1, мы этой группой/файлом пользуемся в домене2 леса1

Универсальная группа, в каком бы лесу она бы ни была определена, для решения вашей задачи не годится (если, вы, конечно, не проводите миграцию с сохранением SID History, при которой все доступы сохраняются без дополнительных телодвижений): она не может включать членов доменов из другого леса, и она действует только в пределах своего леса.
Слава России!

30 ноября 2017 г. 14:25

Ответить

|

Цитировать
0

Нужно войти
При миграции пользователей это более менее понятно.

Но что делать, когда в новом лесу создашь юзера и ему надо предоставить доступ.

У меня на уровне доверия "Конфликт" из-за суффикса.

С этим можно что то сделать? Или только переименование?
- Изменено Pogreb 1 декабря 2017 г. 10:21
1 декабря 2017 г. 8:48

Ответить

|

Цитировать
0

Нужно войти

Без доверия доступ работать не будет. А доверие между доменами с совпадающими именами (DNS или NetBIOS) действительно установить нельзя. Такие вещи, вообще-то, нужно было планировать заранее.

Сейчас единственная возможность обеспечить доступ - использовать сохранённые учётные данные для доступа к нужному серверу из того леса, в котором он находится. Ну, или вводить их каждый раз вручную.
Слава России!

1 декабря 2017 г. 17:56

Ответить

|

Цитировать
0

Нужно войти
Удалил на время тестов одинаковый суффикс.

Проверяю доверие, другая ошибка

Из леса2 домена1 зашел на доменную шару леса1 домена1. Меня запросил пароль, я ввел пароль леса1 домена2 (т.к. я интерпрайз) шара открылась

В чем косяк не могу понять
- Изменено Pogreb 5 декабря 2017 г. 14:18
5 декабря 2017 г. 14:16

Ответить

|

Цитировать
0

Нужно войти

PDC Emulator корня леса жив? Доступен?
Слава России!

5 декабря 2017 г. 15:04

Ответить

|

Цитировать
0

Нужно войти

Со стороны нового леса

со стороны старого леса

6 декабря 2017 г. 6:31

Ответить

|

Цитировать
0

Нужно войти

По вашему посту мне не понятен ответ на мой вопрос
Слава России!

6 декабря 2017 г. 8:22

Ответить

|

Цитировать
0

Нужно войти

Как мне тогда проверить живой или нет эмулятор PDC

В понедельник ПК в домен в старом лесу ввел, значит в старом лесу все работает.

6 декабря 2017 г. 8:31

Ответить

|

Цитировать
0

Нужно войти

Проверить просто: nltest /dsgetdc:корень.леса /pdc с любого компьютера, где есть nltest (на DC есть обязательно).
Слава России!

6 декабря 2017 г. 13:30

Ответить

|

Цитировать
0

Нужно войти

C леса2 домена1

C:\Users\Администратор>nltest /dsgetdc:xxx.ru /pdc
           Контроллер домена: \\02.xxx.ru
      Адрес: \\10.60.07.5
     GUID DOM: 78865e16-f06f-4096-86e2-ece6443507dc
     Имя DOM: xxx.ru
Имя леса: xxx.ru
Имя сайта контроллера домена: MAINSITE
Имя нашего сайта: MAINSITE
        Флаги: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN
DNS_FOREST CLOSE_SITE FULL_SECRET WS DS_8 DS_9

Команда выполнена успешно.

С леса1 домена2

C:\Windows\system32>nltest /dsgetdc:mall.ru /pdc
           Контроллер домена: \\DC7.abimall.ru
      Адрес: \\10.3.0.7
     GUID DOM: c269bed0-2d52-4930-a539-63da609338ef
     Имя DOM: mall.ru
Имя леса: mall.ru
Имя сайта контроллера домена: Default-First-Site-Name
Имя нашего сайта: Default-First-Site-Name
        Флаги: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN
DNS_FOREST CLOSE_SITE FULL_SECRET WS DS_8 DS_9
Команда выполнена успешно.

Все норм

6 декабря 2017 г. 14:05

Ответить

|

Цитировать
0

Нужно войти

Может репликации какие прошли, но конфликтов теперь нет.

В группу "Лакальная в домене" леса1 добавили юзера из леса2

Но теперь я из консоли леса1 домена2 не могу подключить себе "Домены и доверие" леса2
Пиишет "что отсутствуют разрешения"

11 декабря 2017 г. 6:02

Ответить

|

Цитировать
0

Нужно войти

Всем спасибо за подсказки, конфликты убрал.

Сетевой диск подключил старого леса, подключил в новом, файлы в нем открываются и создаются

20 декабря 2017 г. 6:17

Ответить

|

Цитировать