Como fazer com que o grupo de segurança em uma floresta apareça em outra floresta?

Navegue suas respostas
2

Eu tenho duas florestas Win2k8 nas quais faço manutenção. As duas florestas têm uma confiança externa, não transitiva, de duas vias, uma com a outra.

Eu tenho uma pasta na floresta X, domínio countryX.mycompany.com, acessível APENAS pelo grupo de segurança global denominado $ group.

Na floresta Y, o domínio countryY.mycompany.com, countryY \ user1, countryY \ user2et precisa ter acesso à pasta.

O instinto natural é colocar user1, user2 etc. no grupo $. No entanto, nenhum dos métodos para adicionar usuário ao grupo funciona, pois parece que o AD não pode encontrar os grupos na outra floresta.

Pergunta:  1. Como fazer com que as florestas vejam os grupos de segurança umas das outras e possam adicionar?  2. Na prática, qual é a maneira recomendada de alcançar o acesso do usuário às pastas / arquivos em outra floresta?

    
por Jake 07.11.2012 / 13:21

2 respostas

6

Diferentes tipos de grupos têm diferentes "visibilidade" em ambientes com vários domínios e várias florestas, como você encontrou ( Microsoft pode fornecer mais detalhes ). Grupos globais, por exemplo, são apenas "visíveis" dentro do domínio em que residem e só podem conter usuários desse domínio (por causa de como os identificadores de segurança dos usuários membros são armazenados).

As diretrizes de práticas recomendadas da Microsoft são as seguintes:

  • Crie um grupo global em cada domínio para conter membros desse domínio correspondentes a uma função de trabalho

  • Crie um grupo local de domínio no domínio com o recurso a ser controlado e conceda as permissões do grupo local de domínio ao recurso

  • Aninhe os grupos globais de cada domínio no grupo local de domínio

Em alguns cenários, um grupo universal também pode ser usado (quando os recursos a serem gerenciados são distribuídos em vários domínios, geralmente).

Há algumas imagens interessantes (embora com uma proporção engraçada) neste tópico do fórum do Microsoft TechNet que pode fornecer algum conhecimento. Eu também aconselharia a olhar para o artigo da Wikipedia para formar um pouco mais sobre o assunto.

    
por 09.11.2012 / 04:52
1

Gostaria de poder responder a esta pergunta diretamente para você, mas há algumas informações que você precisa esclarecer primeiro. Leia essas perguntas e links e tenho certeza de que você conseguirá que as permissões entre florestas funcionem.

  1. Um tipo "confiança externa" só pode existir entre domínios em duas florestas. Relações de confiança externas não se conectam no nível da floresta. Isso é o que você tem? Link
  2. Você tem um firewall entre as duas florestas? Em caso afirmativo, você confirmou que as portas necessárias estão abertos?
  3. Você configurou encaminhadores de DNS entre os dois domínios?
  4. Consulte este guia sobre grupos de segurança no Active Directory . Você só pode aninhar certos tipos de grupos dentro de outros, e ao cruzar fronteiras de domínios ou florestas, você fica ainda mais limitado em quais tipos de grupos podem ser aninhados.

Por fim, aqui está um ótimo recurso no TechNet: Noções básicas sobre permissões para várias florestas .

    
por 08.11.2012 / 13:55

Tags

Arquivo único alterado: invasão ou corrupção? Crie raid de software espelhado com blocos ruins hdd. Como verificar a integridade dos dados?