[WS2003]Inloggen op meerdere domeinen - Serversoftware en clouddiensten

maandag 4 januari 2010 11:31

Acties:

Topicstarter

Hallo,

Op het moment zitten we in de testfase van een nieuw project. Hierin is het de bedoeling dat we 2 domeinen met elkaar koppelen.Dit is een forest. We hebben deze 2 aparte tree's gekoppeld d.m.v. een transistive trust. We hebben ook gebruik gemaakt van Universal Groups. Hierin hebben we een user lid gemaakt van global, deze is vervolgens lid van de universal en deze is nu lid van een local group. Beide DC's zijn geraised naar een Windows server 2003 functional level.

Het is de bedoeling dat we met 1 gebruiker op allebei de domeinen kunnen inloggen. Is dit mogelijk?

maandag 4 januari 2010 11:35

Acties:

Jay-v

Uhhhh......

Ja dit is mogelijk. Ik snap echter niet precies wat je vraag is?
Teken je verhaal eens uit of schrijf het wat duidelijker.

maandag 4 januari 2010 11:56

Acties:

Zeroxje

Topicstarter

Is het dus mogelijk om met een user die in User & computers staat van Domein A ook in te loggen in domein B. Zonder dat ik dus een extra gebruiker aanmaak op Domein B of dat ik inlog op het andere domein.

maandag 4 januari 2010 12:27

Acties:

Jay-v

Uhhhh......

Sorry, volgens mij gaat dat niet, maar je kan de gebruiker toch toegang geven tot resources in het andere domein? (met behulp van universal groups). Waarom zou je een user willen laten aanmelden bij beide domeinen? Login scripts ofzo?

Ik zou zeggen trek even 2 virtuele machines op en test het eea. Kost je max een uurtje werk.

[ Voor 16% gewijzigd door Jay-v op 04-01-2010 12:29 ]

maandag 4 januari 2010 12:27

Acties:

Zwelgje

never mind.. wordt al uitgelegd hierboven

[ Voor 71% gewijzigd door Zwelgje op 04-01-2010 12:28 ]

A wise man's life is based around fuck you

maandag 4 januari 2010 12:31

Acties:

Verwijderd

Waarom wil je dat de gebruiker in domein B kan inloggen? Je hebt een trust dus ze kunnen ook gewoon op locatie B voor Domein A kiezen.

toch?
of begrijp ik je verkeerd?

maandag 4 januari 2010 12:39

Acties:

bord4kop

maximaal 100KB!

TS wil single-sign-on waarschijnlijk..

Maar wat hij -denk ik- eigenlijk wil is dat gebruikers in domain A toegang hebben tot resources in domain B.
Dat regel je dus met global groups i.c.m. een trust.
(en dit wordt hierboven uitgelegd)

[ Voor 9% gewijzigd door bord4kop op 04-01-2010 12:40 ]

| Security Management |

dinsdag 5 januari 2010 09:56

Acties:

Zeroxje

Topicstarter

Ja, er is op het moment al een transistive trust tussen beide domeinen. Deze werd standaard aangemaakt toen ik de server toevoegde als een nieuw domein in het forest (nieuwe tree).

Het is op het moment al mogelijk om resources van Domein B vanuit Domein A te benaderen. De vraag is gewoon: Zou het mogelijk zijn om met één gebruiker die in Domein A is aangemaakt ook in te loggen op Domein B zonder dat die gebruiker aanwezig is in de AD van Domein B.

dinsdag 5 januari 2010 13:06

Acties:

sanfranjake

Computers can do that?

Jep dat kan, maar dan moet je wel die gebruiker/groepen die rechten toewijzen. Wat de mensen hierboven al uitleggen.

Wanneer er een trust is wordt het kruislings inloggen mogelijk gemaakt. Sowieso is er ALTIJD een trust als een domein binnen hetzelfde forest valt.

Wat jij nu nog moet doen is naar de fileservers, webservers, whatever in domein 2 gaan, en daar de vereiste gebruikersgroepen uit DOMEIN1 expliciet toegang tot die bronnen verlenen. Dit gaat niet vanzelf. Windows is secure by default dus inloggen is nu wel mogelijk maar omdat er geen ntfs/permissie is, krijg je een access-denied.

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters