AD Ormanlar arası kimlik doğrulama - PAC'da eksik gruplar

2 Orman oluşan bir Active Directory kurulumu var:

• 1 orman kök etki alanına sahip 1 çoklu etki alanı ormanı ve 2 doğrudan alt etki alanı
• DMZ yayınlama amaçları için 1 tek alanlı orman

DMZ alanında 3 giden güven, orman kök alanına karşı 1 geçişli orman güveni ve 2 Harici Geçişsiz güven (diğer adıyla Kısayol Güvenleri) oluşturdum.

Dört etki alanındaki DC'lerin tümü Global Katalog sunucularıdır.

Aşağıda görselleştirmeye çalıştım:

Şuan burada bir problem yaşıyoruz. Etki alanındaki dmzRoot.tldbir güvenlik grubuna bir kaynağa erişim izni verdiğimde , Güvenlik grubunun üyesi olan ancak etki alanındaki kullanıcılar için değil, güvenlik grubunun üyesi olan childAkullanıcılar için çalışır .childAchildBchildA

Diyelim ki yerel yöneticiye dmzRoot.tldörneğin bir üye sunucuya erişim vermek istiyorum . childA.ForestRoot.tld\dmzAdministratorsÜye sunucudaki yerel yerleşik Administrators grubuna ekliyorum .

childA.ForestRoot.tld\dmzAdministrators aşağıdaki üyelere sahiptir:

• childâ \ dmzAdmin
• childB \ süper

Şimdi, kimlik doğrulaması childA\dmzAdminyaparsam, üye sunucuda yerel Yönetici olarak oturum açabilirim ve çıktıdan bir göz atarsam whoami /groups, childA.ForestRoot.tld\dmzAdministratorsgrup açıkça listelenir.

childB\superUserAncak kimlik doğrulaması yaparsam, hesabın uzaktan oturum açma için yetkilendirilmediğine dair bir ileti alırım. Ben işaretlerseniz whoami /groupsiçin childB\superUserhesaba, childA.ForestRoot.tld\dmzAdministratorsgrup listede DEĞİLDİR.

Neredeyse tüm DC'ler GC'ler olmasına rağmen , childAgrup SID'leri kullanıcıların kimliklerini doğrularken PAC'ye asla dahil edilmez gibi görünüyor childB.

Test ettiğim dmzRoot.tld dosyasında PAC doğrulamasını devre dışı bıraktım, ancak bu yardımcı olmadı.

Bu sorunu nasıl etkili bir şekilde giderebileceğim konusunda herhangi bir öneriniz var mı? Nerede başarısız olduğunu belirlemek için kimlik doğrulama izini nasıl takip edebilirim?

Kısayolun güvenin soruna neden olduğu ortaya çıkıyor.

AD Kerberos kimlik doğrulaması etki alanları arasında dolaştığında, hedef bölge (ör. dmzRoot.tld), Bölgeyi oluşturan kullanıcıların (ör. childA.ForestRoot.tld) Güvenilir bir etki alanı olduğu bir güven ilişkisini tanımlar .

Hem koşula karşı geçişli orman güveni hem de bu koşulla eşleşen ForestRoot.tlddış güven (kısayol güveni) childAolduğundan, hedef bölge birini seçmelidir ve kısayol güveni, orman güveni içerisindeki örtük güven ilişkisinden önceliklidir (çünkü açıktır). .

Yana SID filtresi karantina varsayılan olarak giden güvenlerde etkinleştirildiğinde, sadece SID güvenilen alemden (bu durumda, childAetki alanı) kimlik üzerine onur duyacağız, yabancı SID en filtrelenen edilecektir.

Sonuç olarak, bunun iki çözümü vardır:

• Dış Güvenleri kaldırın ve Orman güvenine güvenin. Orman güveni geçişli olduğundan, tüm ormanın içinden gelen tüm SID'ler jetonunuzda kalacaktır.
• dmzRoot.tldEtki alanından gelen güven konusunda SID Filtresi Karantinaya Almayı devre dışı bırak

Mantıklı umut