Lucian Maran

home

Windows Server 2008R2: One-way Forest Trust

09 Nov 2011

Am doua forest-uri, fiecare cu cate un singur domeniu:

B are incredere in A, si astfel, utilizatorii din A pot accesa resurse in B.

Solutia 1: Fiecare dezvoltator din A are un cont suplimentar in B. Dezavantaj: fiecare incercare de acces este intrerupta de o etapa de autentificare. Plus memorarea unor credentiale suplimentare.

Solutia 2: Stabilirea unei relatii de trust, unidirectionala, intre cele 2 forest-uri. In continuare am sa descriu, pe scurt, cum se realizeaza acest lucru:

1. Stabilirea relatiei de trust

Configurari pe DomainController-ul (DC) din B:

Configurari pe DC-ul din A:

2. Acordare drepturilor

Configurari pe DC-ul din A:

Configurari pe DC-ul din B:

Nu poti sa adaugi useri/grupuri din afara forest-ului intr-un grup de dip Global. Prin urmare, nici in grupul "DomainAdmin" nu poti adauga membrii din alt forest. Singura varianta de a da drepturi maxime este sa adaugi grupurile/userii din alt forest in grupurile locale numite "Administrators". Fiind un grup local, acest lucru trebuie facut pe fiecare masina (sau daca ai mai multe masini poti automatiza procesul cu GPO). Desigur, aceste drepturi vor fi inferioare celor de tip DomainAdmin.

3. Stabilirea permisiunilor

Pas 4. Accesul la resurse

Presupunem ca un utilizator de pe o masina din dom.A (ex: pc.domeniulA.ro) doreste sa acceseze o masina din dom.B (ex: srv.domeniuB.ro).

Cu modificari usor de intuit, ghidul de mai sus poate fi folosit si pt. configurarea unei legaturi de tipul two-way.

comments powered by Disqus