Dois domínios do Windows Server, dois usuários, as mesmas permissões

1

Eu trabalho para uma pequena empresa, pertencente a uma empresa maior. Eu tenho um usuário no domínio da minha controladora: DomainA\MyUser .

Agora, compramos nosso próprio servidor e queremos nosso próprio domínio. Eu criei um usuário no novo domínio, com o mesmo nome de usuário que o antigo nome de usuário: DomainB\MyUser . Este usuário é administrador de rede em DomainB .

Meu computador ainda está em DomainA . Quando eu logar como DomainA\MyUser , obtenho todas as permissões de DomainB\MyUser no novo servidor (que é o controlador de domínio de DomainB e não conectado a DomainA ).

Isso mesmo se eu definir DomainB\MyUser como inativo.

Como isso é possível ??

[EDIT 2010-07-06]

Não funciona com usuários desabilitados em DomainB . Por último, quando tentei, esqueci de matar todas as sessões do usuário.

Capturas de tela quando uso a área de trabalho remota: link (morto)

Detalhes:

  • NEMOQ_AD é o domínio antigo.
  • ENALOG é o novo domínio.
    • VOLDEMORT é o controlador de domínio de ENALOG .
  • Peter é o usuário

[EDIT 2010-07-08]

Quando digito o usuário como MyUser@DomainA , não consigo fazer login. Por que ele funciona com DomainA\MyUser ?

    
por Palpie 05.07.2010 / 16:01

4 respostas

4

Este é um recurso do NTLM que tenta automaticamente um nome DOMAIN diferente do que você digitou.

Cada login nas suas capturas de tela é do usuário ENALOG\Peter , não NEMOQ_AD\Peter .

Não importa que você esteja digitando o domínio NEMOQ_AD\Peter , pois NEMOQ_AD não é um domínio no qual ENALOG confia. (Veja abaixo.)

Observe que você não vê NAMOQ_AD em qualquer lugar depois de se conectar a Voldemort .

Autenticação de passagem NTLM

O NTLM suporta algo chamado autenticação de passagem . A parte importante do artigo está aqui: (ênfase adicionada)

  • If the domain name specified is not trusted by the domain, the authentication request is processed on the computer being connected to as if the domain name specified were that domain name. NetLogon does not differentiate between a nonexistent domain, an untrusted domain, and an incorrectly typed domain name.

Exemplo para seu uso de compartilhamento de rede

O que está acontecendo é o seguinte:

  1. Voldemort recebe uma solicitação para autenticar o usuário NEMOQ_AD\Peter .
  2. Voldemort vê que NEMOQ_AD não é seu próprio domínio nem qualquer domínio em que ele confie.
  3. O Voldemort tenta autenticar o usuário ENALOG\Peter .
  4. Desde que você digitou a senha para ENALOG\Peter (como você disse em outro comentário), a autenticação é bem-sucedida.

Re. ações líquidas em geral

Quando você está acessando o compartilhamento de unidade, é necessário usar o NTLM (qualquer tentativa de usar o Kerberos falhará porque ENALOG não confia em NAMOQ_AD ) usando a autenticação de passagem, que permite acessar compartilhamentos de rede sem digitar uma senha. Isso funciona somente quando você está usando contas com nome idêntico com senhas idênticas nas duas máquinas.

Re. RDP

Quando você insere uma senha ao usar Área de trabalho remota , ela se comporta exatamente como se você tivesse tentado efetuar login como ENALOG\Peter em vez de NEMOQ_AD\Peter e usando qualquer senha digitada. Se você digitar Peter como seu nome de usuário, o computador local enviará NEMOQ_AD\Peter , já que esse é o único domínio que ele conhece, mas o computador remoto decide usar ENALOG\Peter .

Re. SSMS

Eu assumo que o SQL Server Management Studio está usando uma estratégia ou outra (provavelmente a segunda), não sei detalhes exatos de sua implementação e não tenho dois domínios por aí para testá-la.

    
por 08.07.2010 / 09:48
0

Isso não é possível. Algo está mal configurado.

    
por 05.07.2010 / 16:13
0

Você pode ser mais específico? O que você quer dizer com as mesmas permissões? Você está se referindo às permissões de arquivos e pastas? O que você quer dizer com definir a conta userB como inativa? Não existe algo como "inativo". Você quer dizer que você definiu a conta userB como desativada?

    
por 05.07.2010 / 17:39
0

Stephen Jennings já respondeu completamente, mas estou apenas pensando, apenas por curiosidade, qual é a razão para o domínio separado neste caso?

Existem muitas boas razões, mas geralmente a manutenção de vários domínios é um incômodo e não parece que alguém conseguirá gerenciá-lo e, em vez disso, criar apenas a sobrecarga típica associada à manutenção de vários domínios para um grupo de pessoas.

Por que não incorporar o novo servidor no domínio existente, usando a configuração para limitar seus recursos à sua empresa. Você precisa acessar recursos na empresa controladora? Os administradores da empresa controladora não são confiáveis?

    
por 08.07.2010 / 10:58