Domein trusts

Hallo Tweakers,

Is het mogelijk om tussen een parent en een child domein een nontransitive trust aan te maken?
Of is het anders mogenlijk om deze trustrelatie aan te maken tussen twee windows2003 domein die in hetzelfde forest zitten?

Ik wil namelijk de volgende situatie creëren:

domeinA
/ \
domeinB domeinC

B én C moeten resources kunnen gebruiken uit A
C mag resources gebruiken uit B
B mag nooit resources gebruiken uit C

A, B en C kunnen drie domeinen in één forrest zijn of B en C kunnen child zijn van A (ik weet niet wat het beste is)

Om dit te regelen dacht ik om tussen B en A een nontransitive trust aan te brengen zodat deze trust niet overgaat naar C, maar ik weet niet of deze trustrelatie mogelijk is.

Als dit niet kan weet iemand dan een beter oplossing?

Alvast bedankt.

Daar heb ik ook aan wel gedacht.
Maar onze directie is nogal schuw om de twee domeinen (B en C) in één forrest te duwen.
Ze horen liever dat iets fysiek onmogelijk is dan dat je het met rechten kan afschermen.

Nog belangrijker:
Daar komt bij dat ik een aantal gebruikers heb met dubbele functie (1 in domein B en 1 in domein C)
De gebruikersnaam en ww zijn hetzelfde.
De documenten etc van de gebruikersnaam in domein C zijn veel vertrouwlijker dan die in domein B

Ik wil voorkomen dat zo een persoon vanaf een pc in domein B kan inloggen op Domein C (ik dacht dat dit kon als er geen trust aanwezig was richting domein C.

Dit omdat de pc's in domein B door vele gebruikers gebruikt worden.
Stel dat het wachtwoord van deze persoon achterhaald word, dan kan deze wel inloggen op domein B maar niet op domein C (waar de vertrouwlijke documenten staan).

PC's in domeinC staan in kantoren. PC's in domeinB staan in openbare ruimtes.

Als je alle domains met trusts verbindt (al dan niet in één forest of external trusts), hebben de users gewoon één username/password. Ze loggen aan op hun eigen domein en via de trust krijgen ze toegang tot resources in een ander domain. Het lijkt me erg onlogisch om als er trusts liggen, om dan nog de users per domain een username/password te verstrekken.

---

Oke, aan jullie reacties te horen krijg ik het idee dat wat ik wil niet mogelijk is, of dat ik het een verkeerde manier wil oplossen.

DomeinA = Een domein met exchange server die voor iedereen toegangkelijk moet zijn.
DomeinB = een open leerling domein
DomeinC = een domein specaiaal voor administratie en directie

Het gaat hier om een schoolnetwerk waarbij docenten ook directielid kunnen zijn.
Ik wil dus graag dat deze persoon op een leerlingpc kan aanloggen als docent (in een domein).
Hij mag allen kiezen tussen domeinB en lokaal inloggen. (als een leerling zijn credentials kraakt, mag hij alleen de docentenfunctioneliteit krijgen en niet de directielid functionaliteit)

Op zijn kantoor moet hij kunnen aanmelden onder een ander domein (met andere shares, andere DC etc..) In dit domein kan hij dan via 'domainC\username' rechten krijgen op zijn shares. ('domainB\dezelfde_username' mag hier dus niet bij komen)
Toch wil ik dat de gebruiker 1 gebruikersnaam en 1 wachtwoord moet onthouden voor beide systemen.

Mijn idee was dus om via een non-transitive trust tussen domeinA en domein B, de toegang vanB naar C te blokkeren, maar uit jullie reactie maak ik op dat dit niet zo werkt.

In verband met mail en andere zaken moeten alle gebruikers uit B en C wel bij domain A kunnen komen waar de exchange server draait.

Zoals jullie wel begrepen hebben is het hele trust gedoe vrij nieuw voor mij. (en toch nog ingewikkelder dan ik dacht

mutsje schreef op woensdag 04 april 2007 @ 13:23:
heb je het nou over 1 forrest met child domains of echt over verschillende domains want vind je verhaal ingewikkeld worden

Ik heb het niet specefiek over een vorm, want ik weet niet wat het beste is:
Ik heb nog niets, ik moet het nog gaan opzetten.

Bedankt voor alle imput.
Ik zal het idee nog eens nader gaan bekijken.

Waarschijnlijk zal het wel uitkomen op een parent child type met alle trust waarbij er met rechten mappen worden afgeschermd.