none
Forest trust - доверяющий домен не видит поддомены доверяемого домена RRS feed

  • Вопрос

  • Структура такая: домен domainA и домен domainB (из другого леса, содержит множество дочерних доменов child1.domainB, child2.domainB...) связаны односторонним forest trust - все пользователи леса domainB должны иметь возможность авторизоваться в domainA, но не наоборот. Сетевые доступы между всеми КД корневых доменов domainA и domainB в соответствии с http://support.microsoft.com/default.aspx?scid=kb;EN-US;179442. Сетевого доступа между КД domainA и КД дочерних доменов domainB нет.

    При авторизации на сервере из domainA в списке доменов присутствуют domainA, domainB и локальный вход. При поиске по AD (domainA) в списке доменов ,опять таки, только эти два корневых домена (домен domainB с символом леса). В настройках роутинга DNS суффиксов видны дочерние домены domainB. Если при выборе пользователя (domainA) ввести что-нибудь типа child2\user, запрашиваются учетные данные пользователя с правами в domainB и пользователь добавляется.

    Как добиться того, чтобы в домене domainA были видны дочерние домены domainB (при авторизации или в оснастке AD users `n computers)? Неужели необходимо открывать сетевой доступ и устанавливать трасты от domainA до всех дочерних доменов domainB?
    24 февраля 2010 г. 20:53

Ответы

  • Доверия "Forest Trust" изначально транзитивны через корневые домены лесов.

    // Как добиться того, чтобы в домене domainA были видны дочерние домены domainB
    Придется и лес с "domainB" сделать доверяющим, т.е. задействовать двустороннее доверие.

    25 февраля 2010 г. 8:16
    Отвечающий

Все ответы

  • у вас есть два варианта
    1) Настроить доверительные отношения непосредственно между дочерними доменами child1.domainB, child2.domainB... и domainA
    2) Настроить транзетивные доверительные отношения между child1.domainB, child2.domainB... и domainВ, а также между domainВ и домен domainА. В этом случае domainА будет доверять child1.domainB, child2.domainB...
    25 февраля 2010 г. 3:14
  • Доверия "Forest Trust" изначально транзитивны через корневые домены лесов.

    // Как добиться того, чтобы в домене domainA были видны дочерние домены domainB
    Придется и лес с "domainB" сделать доверяющим, т.е. задействовать двустороннее доверие.

    25 февраля 2010 г. 8:16
    Отвечающий
  • Спасибо за ответы!

    //Придется и лес с "domainB" сделать доверяющим, т.е. задействовать двустороннее доверие.
    Я правильно понимаю, что без поднятия трастов со всеми дочерними доменами (чего очень хочется избежать) это единственный вариант решения проблемы? Не совсем понятно, чем в данной ситуации поможет двустороннее доверие. Дмитрий, можете подсказать?
    25 февраля 2010 г. 8:57
  • // Я правильно понимаю, что без поднятия трастов со всеми дочерними доменами (чего очень хочется избежать) это единственный вариант решения проблемы?

    Нет, не единственный.

    Двусторонее доверие позволит сделать так, чтобы были "видны дочерние домены" доверяющего домена.
    Ну, т.е. направление доверия как бы определяет "видимость" ресурсов, "доверяющий" ("trusting") ресурсы предоставляет, а "доверенный" ("trusted") к ресурсам может доступаться. Каталог AD - это тот же ресурс.

    25 февраля 2010 г. 9:21
    Отвечающий
  • Смысл понял, спасибо!
    Дмитрий, а что подразумевалось под "Нет, не единственный."??? Есть еще какие-то варианты?
    25 февраля 2010 г. 10:35