域內但站點之間的 Windows Server 身份驗證優先級
以下我的總體目標是了解哪些域伺服器(本地或主)實際控制共享或文件夾的身份驗證。
我將從描述我的設置開始:
2 個站點,A 和 B
站點 A:主域控制器(“主”)和我的工作站(“工作站”)
站點 B:也是文件伺服器(“分支”)的本地域控制器。它有一個硬碟驅動器 S:\,在其上創建共享文件夾。
(所有伺服器都是 Windows Server 2008 R2。站點 A 也有一個輔助域控制器,但這可能會影響我的問題。)
我在 Branch\S: (“FolderX”) 上有一個共享文件夾,並且我已將共享權限設置為所有人,完全控制;以及對域管理員和具有“修改”的 AD 組(“GroupX”)的安全權限。作為域管理員,我可以從 Branch 進入該文件夾。
我嘗試以我的正常使用者帳戶從 Workstation 訪問該文件夾,但無法訪問。(\Branch\FolderX) 我可以轉到\Branch,我在共享中看到FolderX。
在複製之前,我應該從哪個域控制器將我的正常使用者帳戶添加到 GroupX 才能訪問 FolderX?
(這是我的實際問題,我認為通過實驗很容易確定。但是……)
如果我在登錄 Branch 時將正常使用者帳戶添加到 GroupX,則無法從 Workstation 訪問該文件夾。(即我的正常使用者帳戶在主 AD 中的 GroupX 中尚不存在。)
我從 GroupX on Branch 中刪除了我的正常使用者帳戶。
然後,我在登錄 Primary 時將我的正常使用者帳戶添加到 GroupX。我仍然無法從 Workstation 訪問 \Branch\FolderX。
如果我確保我的正常使用者帳戶存在於 AD 的 GroupX 中的 Branch 和 Primary 中,我仍然無法訪問 FolderX。
我錯過了什麼?
它不是域控制器。這是您工作站上的 kerberos 票證。為簡化起見,當您的 kerberos 票證發出時(可能是您登錄時),它會列舉您的組成員身份。(這裡有更長的描述。)在票證到期或您註銷並重新登錄之前,您的組成員身份不會更新。
要回答隱含的問題:將自己添加到 Branch 上的組,然後註銷並重新登錄到您的工作站。(您也可以清除您的 kerberos 票證,但我認為這超出了此答案的範圍。)