Nomes de domínio em dois domínios semelhantes do windows (diretório ativo)

Question

Nomes de domínio em dois domínios semelhantes do windows (diretório ativo)

#1 resposta do (2 votos)

1

Sou relativamente novo na administração do Windows (Server 2008r2), mas estou criando um novo ambiente e estou configurando domínios de diretório ativo.

Eu quebrei meu sistema em duas partes, gerenciamento (mgt) e operacional (ops). Ambos são partes do mesmo sistema, mas suas necessidades de disponibilidade são um pouco diferentes.

Eu decidi ligar para o meu sistema "vmnet". Eu criei 2 domínios, vmnet.ops e vmnet.mgt.

Presumi que esses domínios seriam completamente separados, como os sites .com e .org.

Infelizmente, quando estava configurando um compartilhamento de arquivos no vmnet.mgt, percebi que um usuário com o mesmo nome em vmnet.ops NÃO precisava inserir credenciais para acessar o compartilhamento.

Então: 1) Pasta em um servidor de domínio mgt compartilhada com [email protected] via windows share. 2) Registrado em uma estação de trabalho de domínio operacional ([email protected]) e tente acessar a pasta compartilhada. 3) Isso me permite entrar sem nenhuma credencial. 4) Olhando para as permissões da pasta compartilhada da caixa vmnet.ops, ele diz que é compartilhado com [email protected] 5) Olhando para a pasta compartilhada real da máquina vmnet.mgt, ela afirma que é compartilhada com apenas [email protected].

Parece haver sobreposição aqui. Domínios diferentes, deve ter UID completamente diferente? Nenhuma sobreposição de todo? Ou eu estraguei tudo, e vmnet.ops e vmnet.mgt são o mesmo domínio, e o .mgt / .ops é irrelevante?

active-directory windows-server-2008-r2 domain-controller

por izzmit 01.05.2015 / 16:07

1 resposta

Tags active-directory windows-server-2008-r2 domain-controller

mod_auth_radius seguro por https? Como separar solr / home e data / dir no arquivo XML Catalina / localhost?

score 2 · Accepted Answer

Se houver um usuário jake em cada domínio com a mesma senha, o jake de um domínio poderá acessar os compartilhamentos no outro domínio, porque a senha é a mesma. Funciona assim:

Se o jake @ domain1 estiver acessando recursos no domínio1, uma senha não será enviada para o sistema que hospeda o recurso porque o jake recebeu um token de segurança quando fez login no domínio e o token de segurança é usado para obter acesso .
Se o jake @ domain1 estiver acessando recursos que NÃO estão no domínio1 (ou seja, no domínio2 ou em um sistema que não esteja em um domínio), ele passará o nome de usuário e a senha do jakes para o outro sistema e as credenciais correspondem a um usuário jake nesse domínio ou computador, então o jake terá acesso a esses recursos.