none
樹系中第二個網域要瀏覽第一個網域的使用者list需要怎樣的權限 RRS feed

  • 問題

  • 各位高手好
          我在研究AD環境,照著書上建立了一個abc.com的樹系(第一個網域名稱也是如此),然後該樹系下又另外建立了第二個網域xyz.com,然後我照著使用者權限指派的原理,在第二個網域建立一個Local Group,然後嘗試想要加入第一個網域的Global Group...但是我使用第二個網域的administrator都看不到第一個網域的使用者list。我有嘗試在第一個網域(abc.com)設定第二個網域(xyz.com)的管理者有整個網域讀取的權限,但是還是不行.......可是我若是以整個樹系的管理者登入到第二網域DC中....我就可以很順利的選取到第一網域的使用者資料了....

         請問各位AD的專家高手們.....我需要給第二網域的管理者怎樣的權限才能順利的選取第一網域的使用者呢??


    wyldkao
    wyldkao
    2009年12月25日 上午 08:37

解答

  • 另外我提供一下我測試的狀況

    環境:

    DC1 , test.com , 2003 R2 SP2 DC , ip address 192.168.1.1  , dns server ip 192.168.1.1 & 192.168.1.2

    DC2 , abc.com , 2003 R2 SP2 DC , ip address 192.168.1.2 , dns server ip 192.168.1.2 & 192.168.1.1

    abc.com是透過dcpromo時建立一個新的樹狀目錄所產生的

    之後使用abc.com的administrator登入DC2 , 在ADUC裡面建立一個test群組(Domain Local)...在加入成員時選擇test.com,就可以搜尋到裡面的群組帳號

    不用設定任何權限即可


    另外我還測試了一個情形...假如DC2的DNS Server IP沒有設定 192.168.1.1
    重新開機後..在群組要加入成員時..可以選到test.com..但是就會找不到裡面的群組帳號了 (因為無法透過DNS解析到test.com)

    只要將DC2上面的DNS Server配置加回 192.168.1.1 .. 在去ADUC裡面設定..馬上就可以看到test.com的群組帳號


    總結: 麻煩檢查看看你兩台DC的DNS Server IP配置..看是否可以正確的ping到對方的Domain Name.

    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/9(六) 11:30-17:30(台中金典),1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄漢來)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    • 已提議為解答 Vincent Lin 2009年12月28日 下午 12:08
    • 已標示為解答 Vincent Lin 2009年12月29日 上午 02:41
    2009年12月28日 下午 12:07
  • 此外,我重複測試過,對於群組正常可供選取的情況下大概是這樣,可否讓您確認一下
    Domain Local Group:可以選擇該樹系內的所以網域來源以及設定信任關係的其他樹系
    Global Group:只能看到自己所屬的網域(樹系內其他網域都看不到)
    Universal Group:可以選擇所屬樹系的所有網域

    1.
    三個群組的特性大概就如你所描述的
    你可以參考TechNet上面的一篇文章..有詳細的提到此三個群組的差別..對你會有幫助的

    Group scope
    http://technet.microsoft.com/en-us/library/cc755692(WS.10).aspx


    2.
    額外提一點..通常在網域信任的狀況下
    DNS Server上面通常會設定一個轉寄站而不是建立一個的次要區域去做區域轉送

    轉寄站的意思就是說..如果是要查詢abc.com的資料時..就會將此查詢導到abc.com的DNS Server去做查詢
    這樣一來..DNS Server本身只要維護一個自己的區域即可..不用在維護另外一個次要區域

    如何設定可以參考下面文章

    設定 DNS 伺服器以使用轉寄站
    http://technet.microsoft.com/zh-tw/library/cc773370(WS.10).aspx


    3.
    最後..為什麼你之前在第二網域DC登入第一網域的Administrator時會正常..這個我倒是沒測試..所以也不確定

    Thanks
    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/9(六) 11:30-17:30(台中金典),1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄漢來)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    • 已標示為解答 wyldkao 2009年12月29日 上午 02:13
    2009年12月29日 上午 02:08

所有回覆

  • 你是想透過哪個地方去看到網域的使用者List??

    Active Directory 使用者和電腦?  還是哪裡?

    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/9(六) 11:30-17:30(台中金典),1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄漢來)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    2009年12月25日 上午 10:04
  • 是的,是AD使用者與電腦這一個管理工具中
    在第二網域我使用administartor(Administrator@xyz.com)中嘗試新增第一網域的使用者或者是群組都說看不到.....可是我用樹系管理者(administrator@abc.com)登入xyz 網域控制站後,就可以順利的將入第一網域(abc.com)的使用者到這一個網域(xyz.com)這群組中.....所以我認為應該是權限問題...但是我不知道應該在第一網域上給予第二網域管理者怎樣的權限才可以讓他能搜尋到...

    wyldkao


    wyldkao
    2009年12月25日 上午 10:16
  • 你是想要在第二個Domain裡面建立一個 Domain Local的群組..然後將第一個Domain的Global群組加進來當成員嗎?

    先對該群組點右鍵 - 加入群組中 - 點選"位置" , 裡面看的到第一個Domain嗎?

    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/9(六) 11:30-17:30(台中金典),1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄漢來)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    2009年12月25日 上午 10:29
  • 您好
          我測試過,發現以下的情況(先暫時不談群組加入群組的情況)
    我在樹系內的第二網域建立三個不同類型的群組,嘗試點選新增成員(巢狀結構應該也是使用此種方式)
    1. Domain Local Group: 可以看到(1)樹系網域,也就是第一個網域(2)第二網域(自己)(3)external forest(使用樹系信任)
    2. Universal Group:(1)樹系網域,也就是第一網域(2)第二網域(自己)
    3. Grobal Group:(1)第二網域(自己)
    如果是這樣,比如說Universal Group...我是不管怎樣都不會無法選擇設定樹系信任那邊的使用者與群組...
    P.S:  我是使用整個樹系的Administrator去測試的.......

    回到我原本的問題....
    在Domain Local Group的情況下,在我測試的情況中是可以看到所有的來源,不過我如果是使用第二網域的administrator去測試....
    我卻無法看到樹系(第一網域)的來源....所以我就想說兩個administrator一定有差異......
    是我一定要將第二網域的administrator加入到第一網域的domain admins管理者嗎?還是我可以利用委派就可以方便的設定特定權限就可以讓第二網域administrator在設定時就可以看到第一網域的相關物件 (當然是基於上述我測試的情況)


    wyldkao
    wyldkao
    2009年12月28日 上午 12:59
  • 先確認兩件事情

    1.當初你第二個網域在進行dcpromo的時候..是選擇建立子網域?  還是建立新的Tree(樹狀目錄)?
    2.可否提供一下兩個Domain DC的ipconfig /all 資訊給我看看

    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/9(六) 11:30-17:30(台中金典),1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄漢來)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    2009年12月28日 上午 10:35
  • 另外我提供一下我測試的狀況

    環境:

    DC1 , test.com , 2003 R2 SP2 DC , ip address 192.168.1.1  , dns server ip 192.168.1.1 & 192.168.1.2

    DC2 , abc.com , 2003 R2 SP2 DC , ip address 192.168.1.2 , dns server ip 192.168.1.2 & 192.168.1.1

    abc.com是透過dcpromo時建立一個新的樹狀目錄所產生的

    之後使用abc.com的administrator登入DC2 , 在ADUC裡面建立一個test群組(Domain Local)...在加入成員時選擇test.com,就可以搜尋到裡面的群組帳號

    不用設定任何權限即可


    另外我還測試了一個情形...假如DC2的DNS Server IP沒有設定 192.168.1.1
    重新開機後..在群組要加入成員時..可以選到test.com..但是就會找不到裡面的群組帳號了 (因為無法透過DNS解析到test.com)

    只要將DC2上面的DNS Server配置加回 192.168.1.1 .. 在去ADUC裡面設定..馬上就可以看到test.com的群組帳號


    總結: 麻煩檢查看看你兩台DC的DNS Server IP配置..看是否可以正確的ping到對方的Domain Name.

    Thanks


    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/9(六) 11:30-17:30(台中金典),1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄漢來)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    • 已提議為解答 Vincent Lin 2009年12月28日 下午 12:08
    • 已標示為解答 Vincent Lin 2009年12月29日 上午 02:41
    2009年12月28日 下午 12:07
  • 感謝您的回應
        我的測試環境如下
    樹系內第一網域(abc.com):172.16.0.101 DNS IP:172.16.0.101
    樹系內第二網域(xyz.com):172.16.0.121 DNS IP:172.16.0.101 (dcpromo後第一順位自動變成自己127.0.0.1 原本的172.16.0.101

    變成第二順位)
    另外一個樹系網域 (testinglab.com):172.16.0.131 DNS IP: 172.16.0.131
    以上所有的DNS都有設定對方的DNS正向區域為自己的"次要"區域,並在對方設定區域轉送。所以在這三台DNS Server上都有彼此的

    所有紀錄,也都測試OK


    感謝您額外花出時間測試
    我大概知道問題所在,我之前沒有在第二網域(xyz.com)上設定好正確的第一網域(abc.com)相關設定(只是我好奇這種環境下,如您

    所說的這時會無法找到,那為何我使用第一網域的administrator登入第二網域的DC時可以看到第一網域的使用者供選取,只因為他是第

    一網域的管理者??)

    此外,我重複測試過,對於群組正常可供選取的情況下大概是這樣,可否讓您確認一下
    Domain Local Group:可以選擇該樹系內的所以網域來源以及設定信任關係的其他樹系
    Global Group:只能看到自己所屬的網域(樹系內其他網域都看不到)
    Universal Group:可以選擇所屬樹系的所有網域

    再次感謝您的熱心解答


    wyldkao
    2009年12月29日 上午 01:45
  • 此外,我重複測試過,對於群組正常可供選取的情況下大概是這樣,可否讓您確認一下
    Domain Local Group:可以選擇該樹系內的所以網域來源以及設定信任關係的其他樹系
    Global Group:只能看到自己所屬的網域(樹系內其他網域都看不到)
    Universal Group:可以選擇所屬樹系的所有網域

    1.
    三個群組的特性大概就如你所描述的
    你可以參考TechNet上面的一篇文章..有詳細的提到此三個群組的差別..對你會有幫助的

    Group scope
    http://technet.microsoft.com/en-us/library/cc755692(WS.10).aspx


    2.
    額外提一點..通常在網域信任的狀況下
    DNS Server上面通常會設定一個轉寄站而不是建立一個的次要區域去做區域轉送

    轉寄站的意思就是說..如果是要查詢abc.com的資料時..就會將此查詢導到abc.com的DNS Server去做查詢
    這樣一來..DNS Server本身只要維護一個自己的區域即可..不用在維護另外一個次要區域

    如何設定可以參考下面文章

    設定 DNS 伺服器以使用轉寄站
    http://technet.microsoft.com/zh-tw/library/cc773370(WS.10).aspx


    3.
    最後..為什麼你之前在第二網域DC登入第一網域的Administrator時會正常..這個我倒是沒測試..所以也不確定

    Thanks
    歡迎參加MSDN&TechNet技術社群交流活動 (時間:1/9(六) 11:30-17:30(台中金典),1/16(六) 11:30-17:30(台北微軟),1/23(六) 11:30-17:30(高雄漢來)),
    MSDN老爹TechNet小妹將盛裝出席, 要一睹風采, 就趕快報名!!
    • 已標示為解答 wyldkao 2009年12月29日 上午 02:13
    2009年12月29日 上午 02:08