AD 林单向信任:无法列出来自其他域的用户

AD 林单向信任:无法列出来自其他域的用户

因此,我们有两个林(AWS 和 On-Prem)。DC 可以相互通信,单向信任工作正常。

这就是问题所在。

如果我在 DC1(在 AWS 中)上创建共享,则可以向来自另一个本地域 DC2 的用户授予访问权限。但是,如果我转到 DC1 成员的应用服务器 APP1,则无法列出用户并授予访问权限。唯一的区别是 DC1 可以与另一个本地 DC 通信,但 APP1 不能与本地 DC2 通信。

我的问题是:APP1 服务器是否需要访问内部部署 DCs DC2。

谢谢

答案1

是的。或者,您可以在 AWS 中为 On-Prem 域放置一个 RODC。

答案2

是的,如果您使用内置的 Windows 工具(如 Explorer 或 NET SHARE 命令)。

如果您知道要授予访问权限的安全主体的安全标识符 (SID),则可以使用 SETACL 授予对 SID 的访问权限。

授予更改共享权限的示例:

SetACL.exe -on "YourShareName" -ot shr -actn ace -ace "n:S-1-5-21-1004326348-1532298959-727345543-260587;p:change"  

授予更改文件夹权限的示例:

SetACL.exe -on "D:\FolderName" -ot file -actn ace -ace "n:S-1-5-21-1004326348-1532298959-727345543-260587;p:change"

答案3

多谢你们!

我们不能使用本地 RODC(未获批准),虽然 setacl 解决方案有效,但我们还是在 DC1 上创建了域本地组并从 DC2 添加用户。因此,无需在 APP1 上打开端口。

仅供参考,根据我们的政策,所有从本地到 AWS 的流量都是允许的,所有从 AWS 到本地的流量都被拒绝。

由于我尝试从 DC2(本地)列出 APP1(AWS)上的用户,所以我的 LDAP 查询被阻止了。但是在 DC1(AWS)上创建本地域组并添加 DC2(本地)用户是可行的,所以我只需将该组添加到 APP1(AWS)上的共享即可。

相关内容