A precedência de autenticação do Windows Server no domínio, mas entre sites

1

Meu objetivo geral para o seguinte era entender quais servidores de domínio (locais ou primários) realmente controlam a autenticação de um compartilhamento ou pasta.

Vou começar descrevendo minha configuração:

2 sites, A e B
Site A: O controlador de domínio primário ("Primário") e minha estação de trabalho ("Estação de trabalho")
Site B: Controlador de domínio local que também é um servidor de arquivos ("Filial"). Tem um disco rígido S: \ no qual as pastas compartilhadas são criadas.

(Todos os servidores são Windows Server 2008 R2. O site A também tem um controlador de domínio secundário, mas isso pode afetar minha pergunta.)

Eu tenho uma pasta compartilhada no Branch \ S: ("FolderX") e configurei as permissões de compartilhamento para Todos, controle total; e Permissões de segurança para administradores de domínio e um grupo AD ("GroupX") que possui "Modificar". Como administrador de domínio, posso entrar na pasta do Branch.

Eu tento acessar a pasta da Estação de Trabalho como minha conta de usuário comum e não consigo. (\ Branch \ FolderX) Eu posso ir para \ Branch, e vejo o FolderX entre os compartilhamentos.

Antes da replicação, a partir do qual o controlador de domínio deve adicionar minha conta de usuário regular ao GroupX para acessar o FolderX?
(Essa foi a minha pergunta real, que eu achava que seria fácil determinar através da experimentação. No entanto ...)

Se eu adicionar minha conta de usuário comum ao GroupX enquanto estiver conectado à filial, não consigo acessar a pasta da estação de trabalho. (ou seja, minha conta de usuário regular ainda não existe no GroupX no AD na Primária.)

Eu removi minha conta de usuário comum do GroupX na filial.

Em seguida, adiciono minha conta de usuário regular ao GroupX enquanto estou conectado ao Primário. Ainda não consigo acessar \ Branch \ FolderX da estação de trabalho.

Se eu tiver certeza de que minha conta de usuário regular existe no GroupX no AD na Filial e na Primária, ainda não consigo acessar o FolderX.

O que estou perdendo?

    
por GG2 19.08.2016 / 22:05

1 resposta

0

Não são os controladores de domínio. É o bilhete do kerberos na sua estação de trabalho. Para simplificar, quando seu tíquete kerberos foi emitido (quando você efetuou login, provavelmente), ele enumerou suas associações de grupo. (Há uma descrição mais longa aqui .) Seus membros do grupo não serão atualizados até que o ticket expire ou você faça logoff e faça logon novamente.

Para responder à pergunta implícita: Adicione-se ao grupo no Branch e, em seguida, efetue logout e volte para sua estação de trabalho. (Você também pode limpar seus tickets do kerberos, mas acho que está indo além do escopo dessa resposta.)

    
por 19.08.2016 / 22:30