none
Доверительные отношения между двумя доменами Active Directory RRS feed

  • Вопрос

  • Были созданы односторонние доверительные отношения типа external, со стороны партнера incoming trusts а с нашей стороны Outgoing trusts, тип аутентификации domain-wide. После чего я смог видеть их домен у себя в ad но не вижу их пользователей, подскажите что сделано не так или может еще что нужно сделать дополнительно?
    • Изменено Nafanya211 20 ноября 2015 г. 8:28
    17 ноября 2015 г. 11:11

Ответы

  • Вы их пользователей видеть не можете, т.к. не имеете доступа к их списку из за отсутствия доверия в другую сторону.

    Думаю, что вам нужно запросить партнёра, чтобы он сделал для вас учётную запись с минимальными правами - для просмотра списка пользователей и отображения их имён в SID


    Слава России!

    • Помечено в качестве ответа Nafanya211 20 ноября 2015 г. 8:28
    17 ноября 2015 г. 17:01
  • Создать - как обычно. При просмотре списков File Explorer должен запрашивать логин и пароль.

    Домен партнёра должен быть доступен и его должно быть возможным найти через DNS - проверяйте командой nltest /dsgetdc:имя.домена


    Слава России!

    • Помечено в качестве ответа Nafanya211 20 ноября 2015 г. 8:28
    18 ноября 2015 г. 9:43
  • Разрешения-то как давать - если указывать не SID напрямую (хотя icacls это умеет), а имя пользователя? Разрешить анонимную трансляцию имени в SID, разве что?

    Слава России!

    • Помечено в качестве ответа Nafanya211 20 ноября 2015 г. 8:28
    18 ноября 2015 г. 11:04

Все ответы

  • Вы их пользователей видеть не можете, т.к. не имеете доступа к их списку из за отсутствия доверия в другую сторону.

    Думаю, что вам нужно запросить партнёра, чтобы он сделал для вас учётную запись с минимальными правами - для просмотра списка пользователей и отображения их имён в SID


    Слава России!

    • Помечено в качестве ответа Nafanya211 20 ноября 2015 г. 8:28
    17 ноября 2015 г. 17:01
  • как именно создать, эту учетную запись и где ей потом прописать не подскажете?

    18 ноября 2015 г. 9:32
  • Создать - как обычно. При просмотре списков File Explorer должен запрашивать логин и пароль.

    Домен партнёра должен быть доступен и его должно быть возможным найти через DNS - проверяйте командой nltest /dsgetdc:имя.домена


    Слава России!

    • Помечено в качестве ответа Nafanya211 20 ноября 2015 г. 8:28
    18 ноября 2015 г. 9:43
  • M.V.V. _- а зачем это надо? если есть односторонние доверительные отношения, значит так и надо, чтобы не было возможности просматривать данные одного домена. если нужно просматривать ресурсы в другом домене - пусть делают дву-направленные доверия, и делегируют права на просмотр и AD, и файлов. Для этого они (доверия) и предназначены.

    18 ноября 2015 г. 10:45
    Модератор
  • Разрешения-то как давать - если указывать не SID напрямую (хотя icacls это умеет), а имя пользователя? Разрешить анонимную трансляцию имени в SID, разве что?

    Слава России!

    • Помечено в качестве ответа Nafanya211 20 ноября 2015 г. 8:28
    18 ноября 2015 г. 11:04
  • Разрешения-то как давать - если указывать не SID напрямую (хотя icacls это умеет), а имя пользователя? Разрешить анонимную трансляцию имени в SID, разве что?

    Слава России!

    шутите? вот пример для общих разрешений, делегирование в AD тоже самое.

    естественно, что для этого доверие должно быть в правильном направлении, как замечено выше. Но тут я немного запутался. сейчас проверю. Сдаётся мне, всё у автора должно работать.
    Ну создаст он пользователя на чтение атрибутов? и что автор с ними будет делать? доверия этим SIDам то нет.



    18 ноября 2015 г. 13:05
    Модератор
  • да, должно всё работать, если создать пользователя в домене incoming. без этого смысла в довериях нет.

    incoming домен даже не увидит outgoing домен:



    20 ноября 2015 г. 10:14
    Модератор