我遇到了跨信任的通用组问题 - 通用组的成员资格授予了来自林中一个域的权限,但没有授予来自同一林中另一个域的权限 - 我已经设置了一组帐户和组测试来演示并尝试隔离问题并将其简化到最简单的程度。
我知道这个跨信任的通用组可以工作 - 因为在我的一个域中,通用组成员身份确实有效。此外,域内和跨信任的用户成员身份也有效。我需要找出为什么同一林中的另一个域不起作用。
我需要一些指导,了解我可以寻找什么 - 请随时提问,谢谢
解释一下(参考图)
我有两个林 A.COM 和 QACOM - A.COM 林有四个域 (A.COM、AACOM、EACOM 和 SaCOM),QACOM 有一个域 (QACOM)
QACOM 信任 AACOM、EACOM 和 SACOM - 这些是单向非传递信任 - 唯一的其他信任是 A.COM 林中的默认信任。已知所有这些信任都有效,并且每个域中的用户都可以添加到他们自己域中的组中,并拥有 Q 中的成员资格,以访问 Q 中的资源。
我在这些域中设置了以下用户和组
Name Type Domain Member/Right
UA User A.A.COM Member of GS
UE User E.A.COM Member of GS
GS Universal Group S.A.COM Member of GQ
GQ Domainlocal Group Q.A.COM Read rights to Folder
来自域 A 的用户 UA 可以访问该文件夹,但来自域 E 的用户 UE 则不能。
如果我使用域 A 或 E 中的组并将它们添加到 GQ 组,那么就可以了。这是我们目前解决该问题的方法。
我已登录 QACOM 的成员服务器并为用户 UA 运行 WHOAMI 组,它显示了所有预期的 GS 和 GQ 组
但是对于用户 UE,GS 或 GQ 组均未显示。如果在 QACOM 成员服务器上运行,则它会正确显示 GS 通用组。
所以我相信它与票证或 Kerberos 有关 - 我一直在阅读有关这方面的内容并会继续阅读,但我想我迷路了。
最后,我检查的其他内容如下。已设置站点和服务,以便两个林中的 DC 正确定位另一个林中靠近的 DC
A.COM 林的每个子域中只有一个非 GC 服务器 - 它承载着基础设施主机角色,所以我认为这意味着所有 DC 都具有所有通用组,甚至非 GC 组也是基础设施主机。
QACOM 中的所有服务器都是 GC - 但没有通用组
我们确实在很多地方都设有防火墙 - 但我在访问过程中没有看到任何一个被拒绝。
答案1
我发现在每个信任的入站端的 AD 中都有一个名为 SID 过滤的设置,SID 过滤会删除不是来自受信任域的 SID。我们只需要将其关闭即可查看来自其他域的组的 SID。
令我们感到困惑的是,在 Server 2000 到 Server 2008 R2 之间的某个时间设置信任时的默认设置。
因此,当我们最初设置信任时,过滤是关闭的。后来的信任过滤是打开的。令我们困惑的是,同一个人在我们这边设置了所有信任,但远端却是另一个人,所以我们怀疑是远端的问题。