Active-Directory

通用組不能跨域信任工作

  • April 30, 2020

我對跨信任的通用組有疑問 - 通用組的成員資格授予來自林中一個域的權限,但不來自同一林中的另一個域 - 我已經設置了一組測試帳戶和組來展示和嘗試並將問題隔離並簡化為最簡單的問題。

我知道這個跨信任的通用組可以工作 - 因為在我的一個域中,通用組成員身份確實有效。此外,域內的使用者成員身份和跨信任也有效。我需要找出為什麼同一林中的其他域不起作用。

我正在尋找一些我可以尋找的指導 - 隨時提問謝謝

解釋(參考圖表)

在此處輸入圖像描述

我有兩個森林 A.COM 和 QACOM - A.COM 森林有四個域(A.COM、AACOM、EACOM 和 SaCOM),而 QACOM 有一個域 (QACOM)

QACOM 信任 AACOM、EACOM 和 SACOM - 這些是一種方式的非傳遞信任 - 唯一的其他信任是 A.COM 林中的預設信任。眾所周知,所有這些信任都有效,並且每個域中的使用者都可以添加到他們自己域中的組中,並在 Q 中具有成員資格,以訪問 Q 中的資源。

我在這些域中設置了以下使用者和組

Name    Type                Domain      Member/Right 
UA      User                A.A.COM     Member of GS
UE      User                E.A.COM     Member of GS 
GS      Universal Group     S.A.COM     Member of GQ  
GQ      Domainlocal Group   Q.A.COM     Read rights to Folder

來自域 A 的使用者 UA 可以訪問該文件夾,但來自域 E 的使用者 UE 不能。

如果我在域 A 或 E 中使用組並將它們添加到 GQ 組中,則可以。這是我們目前解決該問題的方法。

我已經登錄到 QACOM 的成員伺服器並為使用者 UA 執行 WHOAMI 組,它顯示了所有預期的 GS 和 GQ 組

然而,對於使用者 UE,GS 或 GQ 組均未顯示。如果在 QACOM 成員伺服器上執行,那麼它會正確顯示 GS 通用組。

所以我相信它與票證或 kerberos 有關 - 我一直在閱讀這方面的內容並將繼續,但我想我迷路了。

最後,我檢查的其他內容如下。已設置站點和服務,以便兩個林中的 DC 正確定位另一個林中的鄰近 DC

A.COM 森林的每個子域中只有一個非 GC 伺服器 - 它承載基礎結構主機角色,所以我認為這意味著所有 DC 都具有所有通用組,即使是非 GC,因為它是基礎結構主機。

QACOM 中的所有伺服器都是 GC - 但這沒有通用組

我們在很多地方都有防火牆——但我在訪問期間沒有看到任何拒絕。

我發現在每個信任的入站端的 AD 中有一個設置,稱為 SID 過濾,SID 過濾會刪除不來自受信任域的 SID。我們只需將其關閉即可查看來自其他域的組的 SID。

讓我們感到困惑的是,在 Server 2000 到 Server 2008 R2 之間的某個時間設置信任時的預設設置。

因此,當我們的初始信任設置時 - 過濾已關閉。後來的信任過濾已打開。讓我們感到困惑的是同一個人在我們這邊設置了所有信任,但在遠端是另一個人,所以我們懷疑是遠端。

引用自:https://serverfault.com/questions/970324