É possível permitir que um usuário do Domínio A grave no compartilhamento de arquivos do Domínio B sem uma relação de confiança?

1

Atualmente, estou trabalhando com dois servidores Windows 2008, cada um rodando em domínios completamente separados, sem possibilidade de estabelecer uma relação de confiança entre eles.

O que eu preciso encontrar é ter um serviço em "Domain Controller A" capaz de gravar em um compartilhamento de arquivos no "Domínio B".

Eu posso mapear uma unidade do Controlador de Domínio A para o "Domínio B" (\\ Pasta) usando uma conta do Domínio B, (Domínio_B \ Conta). No entanto, não consigo executar o serviço no Controlador de Domínio A sob essa conta como Domain_B \ A conta não pode ser autenticada por ele.

Existe uma maneira de fazer isso além de definir permissões de "\\ Pasta" para permitir leitura / gravação para a conta EVERYONE , que eu estou relutante em fazer por razões óbvias de segurança?

    
por Silthias 11.02.2014 / 14:20

1 resposta

0

Uma solução:

(Observe que isso não funcionará em um controlador de domínio, pois eles não diferenciam entre logins AD e Local em um controlador de domínio)

  1. Crie um usuário local no computador A, ou seja, ComputerA \ SharedServiceUser
  2. Crie um usuário local no Computador B com exatamente o mesmo nome de usuário e senha, ou seja, ComputerB \ SharedServiceUser
  3. Definir permissões no compartilhamento no Computador B para o usuário local criado no ComputerB
  4. Defina o serviço no ComputerA para ser executado como o usuário local no ComputerA

Isso funciona porque os hashes de senha do Windows não são salgados. Portanto, quando o serviço no ComputerA passa sua identidade pela rede como \ SharedServiceUser com Hash como senha, ele corresponde à identidade do usuário local em ComputerB. \ SharedServiceUser

    
por 03.06.2015 / 12:06