Возможно ли установить доверительные отношения между двумя доменами Active Directory?

Question

[Argenon]

Возможно ли каким-нибудь образом установить доверительные отношения между двумя различными доменами Active Directory (находящихся в разных сетях, но связанных маршрутизацией) не создавая лес, чтобы пользователи одного домена могли авторизовываться на сервере второго и наоборот?

Answer 1

[Сергей Галактионов]

Понятия Лес и Домен - неотделимы, нельзя создать лес без домена, как и наоборот.
Относительно Вашего вопроса:
1. https://technet.microsoft.com/en-us/library/cc7702... (для общего развития)
2. В зависимости от факторов Вам необходимо выбрать подходящую Вам модель: Forest Trusts, External Trusts или Realm (если non-Windows), всё это описано в ссылке из п.1

Comments

[Argenon]

О, спасибо, все оказывается просто. Будем пробовать.

[Argenon]

Подскажите еще, пожалуйста. Настроил внешнее двухстороннее доверие между доменами, при добавлении пользователя одного домена в группу другого домена (через вкладку "Member of") возникает ошибка The user name or password is incorrect. При выборе, через поиск, группы второго домена видны. Что я мог упустить?

[Сергей Галактионов]

В поле запроса ввода логина и пароля нужно вводить логин и пароль учётной записи обладающей административными правами в домене из которого вы хотите добавить учетную запись в группу, проще говоря запрашиваются разрешения на выполнения операции.

[Argenon]

Ну понятно, что дело правах, только дело в том, что не запрашивается никакой логин и пароль. Я на сервере домена "dom1" пытаюсь добавить пользователя этого домена "dom1\user1"в группу домена "dom2" (допустим в группу пользователей удаленного рабочего стола "dom2\remote desktop users"), все верно делаю? И получаю эту ошибку.

[Сергей Галактионов]

Каким образом вы пытаетесь управлять членством в группе dom2\remote desktop users с сервера домена dom1 ?

Если ваша задача предоставить доступ по RDP пользователю из домена dom1 на сервера в домене dom2 то надо так:

1. Заходите на сервер в домене dom2
2. Открываете оснастку управления локальными пользователями и группам
3. Находите локальную группу Remote Desktop Users, жмёте добавить пользователя, затем выбираете Locations ---> домен dom1 и добавляете пользователя user1

Что мы имеем в итоге: пользователь dom1\user1 является членом группы Remote Dekstop Users на конкретном сервере и может подключаться к нему по RDP

p.s. Группа dom2\Remote Desktop Users является Built-in группой (встроенной) https://technet.microsoft.com/en-us/library/cc7568...

[Argenon]

Ага, хорошо, зря привел пример этой группы, как вы говорите - так работает. Не работает в моем случае добавление пользователя в группу (любую) домена "dom2". Если я открываю оснастку Active Directory Users and Computers на контроллере домена "dom2" и пытаюсь в некую группу "dom2\group1" добавить пользователя "dom1\user1" - в locations нет домена "dom1". Что я не правильно делаю? Или чего-то не понимаю?

[Сергей Галактионов]

а у вас отношения доверия сделаны в обе стороны ?

[Сергей Галактионов]

Может так получиться что dom1 доверяет dom2 а наоборот нет =)

[Argenon]

походу нашел в чем дело, если у группы тип "Security Group - Global", то в "Locations" нет доверенного домена, если другой тип, например "Security Group - Domain Local", то все нормально пользователь из первого домена успешно добавляется. Не знаете с чем это связано? Наверное придется менять группу с global на domain local?

[Сергей Галактионов]

Global группа не может содержать в себе членов из внешних доверенных доменов
Вот вам в помощь blogs.msmvps.com/acefekay/2012/01/06/using-group-n...
Там есть картинки с табличками в которых всё очень доступно описано

[Argenon]

Спасибо.

[Argenon]

Ага, и таком случае получатся, что я не могу дать админиские права пользователю первого домена для управления вторым доменом?

[Argenon]

Права доменного админа я имею ввиду

[Argenon]

В общем как то сделал, но как то странно все. Нужно время чтобы осмыслить)

[Argenon]

А UPN-суффиксы не будут работать в доверенном домене? Как то можно настроить это? У меня первый домен corp.domain1.ru с суффиксом domain1.ru второй аналогично. Чтобы пользователи использовали суффикс, а не полное имя для входа на сервер доверенного домена.

[Сергей Галактионов]

Если не меняли параметры upn suffix routing в свойствах трастов, то пользователи домена corp.domain1.ru при аутентификации на сервере в домене domain2 могут использовать формат или user@corp.domain1.ru или corp\user

[Argenon]

это работает, а возможно сделать так, чтобы они использовали user@domain1.ru ?

[Сергей Галактионов]

Насколько я понимаю domain1.ru это имя корневого домина леса, а corp.domain1.ru это дочерний домен ?

[Сергей Галактионов]

Чертов T 9 ))

[Argenon]

нет, домен domain1.ru это просто глобальный домен, сайт на нем висит, почта ходит. Для внутреннего домена создал отдельный corp.domain1.ru

[Сергей Галактионов]

Тогда через оснастку Active directory domain and trusts добавьте новый upn суффикс и в свойствах учетной записи пользователя во вкладке account смените его на тот который создали

[Argenon]

и создал UPN суффикс domain1.ru. Получается что ко всем ресурсам пользователь имеет доступ через учетку user@domain1.ru, а в доверенный домен с такой учеткой попасть не может, только с учеткой user@corp.domain1.ru авторизация проходит

[Argenon]

>>>Тогда через оснастку Active directory domain and trusts добавьте новый upn суффикс и в свойствах учетной записи пользователя во вкладке account смените его на тот который создали

Я так и сделал. не проходит авторизация в доверенном домене через суффикс (

[Сергей Галактионов]

а что нам говорит вкладка Name Suffix Routing ?

[Argenon]

У меня такой вкладочки в свойствах отношений нет. Как ее сделать?

[Сергей Галактионов]

Должна быть

https://msdnshared.blob.core.windows.net/media/TNB...

[Argenon]

нету. Может это с SID связано и это надо отключить?

[Argenon]

скрин

[Argenon]

Active Directory Domain and Trusts

[Сергей Галактионов]

Kerberos AuthN поддерживается только для Forest trusts, поэтому либо меняйте тип трастов, либо используйте дефолтный суффикс

[Argenon]

вон оно че, понятно спасибо

[Сергей Галактионов]

Вот ссылка на статью хорошую https://jorgequestforknowledge.wordpress.com/2011/...

[Сергей Галактионов]

Эта статья из разряда Kerberos Dark Art, поэтому проще сменить тип трастов =)

[Argenon]

поэксперементируем

[Argenon]

Может сможете помочь мне и с таким вопросом? Как использовать Oauth авторизацию в ADFS? )

[Сергей Галактионов]

Я сам имею весьма поверхностные знания по службам федерации, завтра спрошу у коллег )