none
Domain Trust RRS feed

  • Вопрос

  • Приветствую участников.

    Настроил отношения доверия между двумя доменами.

    Все прекрасно работает, за исключением одной мелочи:

    На локальном контролере домена, через оснастку AD Users ans Comp's при обзоре не видно удаленного домена.

    При этом на удаленном домене, таким же путем мой локальный домен доступен для просмотра.

    С чем это связано? 

    Локальный домен и лес предварительно повышался до ФУ "Windows 2003". Удаленный домен уже был на данном уровне. 

    Контроллеры домена не перегружались (работают люди).

Ответы

  • Вот я тоже об этом подумал. Группа - Универсальная, как я понимаю она может содержать членов любого домена. Посмотрел - домен доступен для выбора только в группах с областью действия Local Domain, эта группа распространяется только на ресурсы своего домена. Или я недопонимаю чего то :) В универсальную нельзя вложить членов чужого домена??


    Все верно - универсальная группа может содержать членов только из своего леса.

    Так как информация о членстве в группе содежится в глобальном каталоге, соответственно в вашем глобальном каталоге не может быть объектов из другого леса.

    Используйте для своих целей локальные группы

    • Помечено в качестве ответа k0st13 24 мая 2010 г. 7:15
    Отвечающий

Все ответы

  • На локальном контролере домена, через оснастку AD Users ans Comp's при обзоре не видно удаленного домена.

    При этом на удаленном домене, таким же путем мой локальный домен доступен для просмотра.


    При каком обзоре? Какое действие пытаетесь выполнить? Доверие двухстороннее?
    Отвечающий
  • Двустороннее доверие - у меня в домене добавлены входящее и исходящее доверие для удаленного домена, в удаленном домене  - то же самое для моего. Обзор из оснастки Пользователи и компьютеры, в диалоге добавления члена группы, в Размещении доступен для поиска доверенный домен - на контроллере удаленного домена. С моей же стороны в Размещении вижу только свой домен.
  • Группа, которая в вашем домене, в которую добавляете с какой областью действия (вкладка general)?
    Отвечающий
  • Вот я тоже об этом подумал. Группа - Универсальная, как я понимаю она может содержать членов любого домена. Посмотрел - домен доступен для выбора только в группах с областью действия Local Domain, эта группа распространяется только на ресурсы своего домена. Или я недопонимаю чего то :) В универсальную нельзя вложить членов чужого домена??
  • Вот я тоже об этом подумал. Группа - Универсальная, как я понимаю она может содержать членов любого домена. Посмотрел - домен доступен для выбора только в группах с областью действия Local Domain, эта группа распространяется только на ресурсы своего домена. Или я недопонимаю чего то :) В универсальную нельзя вложить членов чужого домена??


    Все верно - универсальная группа может содержать членов только из своего леса.

    Так как информация о членстве в группе содежится в глобальном каталоге, соответственно в вашем глобальном каталоге не может быть объектов из другого леса.

    Используйте для своих целей локальные группы

    • Помечено в качестве ответа k0st13 24 мая 2010 г. 7:15
    Отвечающий
  • Спасибо, я понял.  Какой практический смысл в Универсальной группе, если я для объекта в своем домене в ACL могу явно назначить разрешения для члена другого леса. Просто не могу понять, или не вижу пока исходя из своих задач, но понять все равно хочу :)
  • Спасибо, я понял.  Какой практический смысл в Универсальной группе, если я для объекта в своем домене в ACL могу явно назначить разрешения для члена другого леса. Просто не могу понять, или не вижу пока исходя из своих задач, но понять все равно хочу :)


    Практический смысл появляется тогда, когда в вашем лесу несколько доменов.

    Ну и назначать права явно - не через группы, не рекомендуется - по многим причинам, например теряется прозрачность - вы не можете ответить на вопрос, посмотев свойства пользователя - "куда он имеет доступ?", далее удобство, чтобы предоставить доступ - достаточно добавить его в группу и не "раздувать" DACL - тем самым замедляя работу сервисов, которые предоставляют доступ к чему либо (например файловые сервера) и т. д.

    Отвечающий
  • Я следую практике создания групп конечно же, и назначения прав на группы, везде где это возможно, это уже привычка. То есть пока у меня нет явной нужды использовать универсальные группы, и не надо их использовать. 

    Спасибо за комментарии.