有点背景故事,我目前有两个域(A和B),单向,外部信任. (对A的传出信任,B中的用户可以访问A中的设备)
目前,我可以登录到域A中的计算机,并使用GUI从域B添加用户. (我也可以通过CLI完成,但这里不相关)
当我构建我的测试域时,我可以重新创建此行为.如果我使用双向信任创建测试域,则在两个方向上进行域范围的身份验证时,此行为不会更改,但它确实允许我以相反的方向(duh)进行身份验证,这是我不想要的.
当我因某种原因将域B更改为“选择性身份验证”时,用户和计算机GUI将按预期停止工作.
>对于域B计算机,我仍然可以像平常一样浏览GUI,并且
甚至添加域A用户,但由于他们不允许登录
选择性的Auth设置.
>对于域A计算机,浏览GUI不允许选择用户或组,高级搜索会出现错误,指出:“以下错误阻止显示任何项目:未指定的错误”
>对于域A计算机,如果我知道域B的用户名,我可以使用’net localgroup’命令添加帐户,一切正常,但GUI被破坏,这可能不是一个可用的解决方案我们的大多数用户……
我的问题(很抱歉花了这么长时间才得到它)是为什么选择性auth改变了信任的行为,使它的行为与单向信任不同,是否有一些我想念的简单事情?
当我从GUI中收到“未指定”错误时,我在域B的DC上收到错误:
A Kerberos service ticket was requested.
Account information: Account Name: bob@DOMAINA Account
Domain: DOMAINA logon GUID: {00000000-0000-0000-0000-000000000000}Service information: Service Name: ldap/DC.DOMAINB/DOMAINB
Service ID: NULL SIDNetwork information: Client Address: ::ffff:192.168.18.70 Client
Port: 62103Additional information: Ticket Options: 0x40800000 Ticket
Encryption Type: 0xFFFFFFFF Failure Code: 0xC Transited Services: –This event is generated every time access is requested to a resource
such as a computer or a Windows service. The service name indicates
the resource to which access was requested.This event can be correlated with Windows logon events by comparing
the logon GUID fields in each event. The logon event occurs on the
machine that was accessed,which is often a different machine than the
domain controller which issued the service ticket.Ticket options,encryption types,and failure codes are defined in RFC
4120.
我不明白为什么当我提供DomainB凭证时,它尝试使用DomainA的’bob’来对DomainB进行身份验证…
感谢您提供的任何帮助,我已经连续3天敲打这个并且还没有找到任何有用的东西.
您可以通过计算机来计算机,也可以在OU中设置包含计算机对象的权限.
我建议的是以下内容.在域A中创建本地组,在域B中创建一个全局组.
使域B中的全局组成为域A中本地组的成员.
右键单击包含要允许的系统的ou,然后选择属性.在安全性选项卡中,单击“高级”.
添加域本地组,然后选择允许进行身份验证复选框.
这将允许来自域b的任何属于全局组成员的用户有权登录您指定的系统.