Uživatelské nástroje

Nástroje pro tento web


Postranní lišta

Active Directory

Windows Servery

Infrastruktura

domaintrusttype



Doménový trust, forest-wide vs selective authentication


Forest-wide authentication

Každý uživatel z trusted domény se může přihlásit do trusting domény. Jedná se o ověření identity (authentication), nejedná se o automatické právo přistupovat ke všem zdrojům v trusting doméně (aplikace). Uživatel však pouhým vytvořením trustu získá read acces to trusting domény.

Doménový trust byl vytvořen, uživatel z trusted domény tím získal přístup:

PS C:\> Get-ADUser -Server te.lab -LDAPFilter "(samAccountName=*schusjir*)" | select DistinguishedName
DistinguishedName
-----------------
CN=schusjir-tieto,OU=testing,DC=te,DC=lab
PS C:\> (Get-ADUser -Filter * -Server te.lab).count
4365
C:\>dir /B \\te.lab\sysvol\te.lab\Policies
{31B2F340-016D-11D2-945F-00C04FB984F9}
{6AC1786C-016F-11D2-945F-00C04fB984F9}

Selective authentication

Uživatel z trusted domény se může přihlásit do trusting domény jen pokud mu byl uděleno oprávnění.

Doménový trust byl vytvořen, uživatel z trusted domény tím však nezískal přístup, protože práva nebyla explicitně přidělena. Stejné příkazy jako výše:

PS C:\> Get-ADUser -Server te.lab -LDAPFilter "(samAccountName=*schusjir*)" | select DistinguishedName
Get-ADUser : A call to SSPI failed, see inner exception.
PS C:\> (Get-ADUser -Filter * -Server te.lab).count
Get-ADUser : A call to SSPI failed, see inner exception...
C:\>dir /B \\te.lab\sysvol\te.lab\Policies
"The computer you are signing into is protected by an authentication firewall. The specified account is not allowed to authenticate to the computer."

Přidělení práv pro přihlášení

Provádí se v AD na účtu počítače, ke kterému by měl mít uživatel z trusted domény právo přihlásit se.



domaintrusttype.txt · Poslední úprava: 2020/09/20 13:45 (upraveno mimo DokuWiki)