Active Directory
Windows Servery
Infrastruktura
Postranní lišta
Doménový trust, forest-wide vs selective authentication
Forest-wide authentication
Každý uživatel z trusted domény se může přihlásit do trusting domény. Jedná se o ověření identity (authentication), nejedná se o automatické právo přistupovat ke všem zdrojům v trusting doméně (aplikace). Uživatel však pouhým vytvořením trustu získá read acces to trusting domény.
Doménový trust byl vytvořen, uživatel z trusted domény tím získal přístup:
PS C:\> Get-ADUser -Server te.lab -LDAPFilter "(samAccountName=*schusjir*)" | select DistinguishedName DistinguishedName ----------------- CN=schusjir-tieto,OU=testing,DC=te,DC=lab
PS C:\> (Get-ADUser -Filter * -Server te.lab).count 4365
C:\>dir /B \\te.lab\sysvol\te.lab\Policies
{31B2F340-016D-11D2-945F-00C04FB984F9}
{6AC1786C-016F-11D2-945F-00C04fB984F9}
Selective authentication
Uživatel z trusted domény se může přihlásit do trusting domény jen pokud mu byl uděleno oprávnění.
Doménový trust byl vytvořen, uživatel z trusted domény tím však nezískal přístup, protože práva nebyla explicitně přidělena. Stejné příkazy jako výše:
PS C:\> Get-ADUser -Server te.lab -LDAPFilter "(samAccountName=*schusjir*)" | select DistinguishedName Get-ADUser : A call to SSPI failed, see inner exception.
PS C:\> (Get-ADUser -Filter * -Server te.lab).count Get-ADUser : A call to SSPI failed, see inner exception...
C:\>dir /B \\te.lab\sysvol\te.lab\Policies "The computer you are signing into is protected by an authentication firewall. The specified account is not allowed to authenticate to the computer."
Přidělení práv pro přihlášení
Provádí se v AD na účtu počítače, ke kterému by měl mít uživatel z trusted domény právo přihlásit se.
domaintrusttype.txt · Poslední úprava: 2021/11/01 20:26 autor: Jiří Schuster