因此,我们有两个林(AWS 和 On-Prem)。DC 可以相互通信,单向信任工作正常。
这就是问题所在。
如果我在 DC1(在 AWS 中)上创建共享,则可以向来自另一个本地域 DC2 的用户授予访问权限。但是,如果我转到 DC1 成员的应用服务器 APP1,则无法列出用户并授予访问权限。唯一的区别是 DC1 可以与另一个本地 DC 通信,但 APP1 不能与本地 DC2 通信。
我的问题是:APP1 服务器是否需要访问内部部署 DCs DC2。
谢谢
答案1
是的。或者,您可以在 AWS 中为 On-Prem 域放置一个 RODC。
答案2
是的,如果您使用内置的 Windows 工具(如 Explorer 或 NET SHARE 命令)。
如果您知道要授予访问权限的安全主体的安全标识符 (SID),则可以使用 SETACL 授予对 SID 的访问权限。
授予更改共享权限的示例:
SetACL.exe -on "YourShareName" -ot shr -actn ace -ace "n:S-1-5-21-1004326348-1532298959-727345543-260587;p:change"
授予更改文件夹权限的示例:
SetACL.exe -on "D:\FolderName" -ot file -actn ace -ace "n:S-1-5-21-1004326348-1532298959-727345543-260587;p:change"
答案3
多谢你们!
我们不能使用本地 RODC(未获批准),虽然 setacl 解决方案有效,但我们还是在 DC1 上创建了域本地组并从 DC2 添加用户。因此,无需在 APP1 上打开端口。
仅供参考,根据我们的政策,所有从本地到 AWS 的流量都是允许的,所有从 AWS 到本地的流量都被拒绝。
由于我尝试从 DC2(本地)列出 APP1(AWS)上的用户,所以我的 LDAP 查询被阻止了。但是在 DC1(AWS)上创建本地域组并添加 DC2(本地)用户是可行的,所以我只需将该组添加到 APP1(AWS)上的共享即可。