Доступ к файловым ресурсам из другого леса.

Ответить
cobion
Гражданин
Сообщения: 108
Зарегистрирован: 22 апр 2016 07:26

Доступ к файловым ресурсам из другого леса.

Сообщение cobion » 02 ноя 2019 09:07

Доброго времени суток Уважаемые коллеги.

Есть лес corp.it.ru и другой лес df.local включающий дочерний домен spb.df.local и msk.df.local. Между доменом spb.df.local и доменом другого леса corp.it.ru создано однонаправленное внешнее доверие, так что бы пользователи могли аутентифицироваться в обоих доменах. Так же в рамках миграции из домена corp.it.ru в spb.df.local и наоборот.

в домене corp.it.local имеется файловый сервер на котором аутентифицируются пользователи целевого домена spb.df.local пока все ресурсы не будут перемещены в целевой домен.

Задача: Есть пользователи в домене msk.df.local и им необходимо аутентифицироваться под своими учетными записями вида msk\user на файловом сервере в другом лесе corp.it.ru.

Что сделано:Созданы универсальные группы в домене spb.df.local и в данные группы включены пользователи из домена msk.df.local и текущие универсальные группы добавлены как участники других глобальных или универсальных групп, которые уже имеют доступ на папки файлового сервера в домене corp.it.ru.

Проблема: Если пользователь в домене msk.df.local пытается открыть файловый ресурс через \\fs.corp.it.local, появляется окно аутентификации с запросом логина и пароля.Пользователь вводит свои креды вида msk\users, но аутентификация не проходит и окно появляется повторно- что означает скоре всего что даже на шару fs.corp.it.local пользователь попасть не может. Соответственно из домена spb.df.local все аутентифицируется сразу без окна авторизации- это естественно, потому как имеется прямое внешнее доверие между spb.df.local и corp.it.local.

В то же время, естественно если мы хотим предоставить доступ к файловым ресурсам в домене msk.df.local из домена spb.df.local того же леса, то транзитивность и двухстороннее доверие сохраняется если домен spb доверят домену df и домен df доверяет домену msk, то соответственно и домен spb доверяет домену msk на прямую, а значит ресурсы доступны прозрачно.

В другом случае, есть конфигурации дву-сторонних доверительных отношений между лесами, то есть на уровне корневых доменов в каждом лесе и тогда, так же можно прозрачно получить доступ из одного домена леса в другом домене леса.

Может в данной конфигурации с односторонним внешним доверием такая схема просто не работает, либо необходима дополнительная аутентификация ? Второе внешнее доверие естественно никто не будет устанавливать (между msk.df.local и corp.it.ru).

Вопрос: Подскажите, возможно ли предоставить прозрачный доступ из домена msk.df.local к файловому ресурсу в другом лесе corp.it.ru как прозрачная аутентификация, либо с аутентификацией msk\user , если доверие только внешнее и осуществляется из другого домена, но того же леса ? Может необходимо что-то еще сделать, потому как даже доступ на уровне сетевой папки не может быть осуществлен.

P.S.Либо это все же разруливается на уровне доступа к шаре и вложенностью групп ?

Спасибо!

Ответить

Вернуться в «Windows Server 2012/2012 R2»