मेरे पास एक सक्रिय निर्देशिका सेटअप है जिसमें 2 वन हैं:
- 1 फ़ॉरेस्ट रूट फ़ॉरेस्ट के साथ 1 मल्टी-डोमेन फ़ॉरेस्ट, और 2 डायरेक्ट चाइल्ड डोमेन
- DMZ प्रकाशन प्रयोजनों के लिए 1 एकल-डोमेन फ़ॉरेस्ट
मैंने DMZ डोमेन में 3 आउटगोइंग ट्रस्ट बनाए हैं, वन रूट डोमेन के खिलाफ 1 ट्रांजिटिव फॉरेस्ट ट्रस्ट, और 2 एक्सटर्नल नॉन-ट्रांजिटिव ट्रस्ट (उर्फ शॉर्टकट ट्रस्ट)।
सभी चार डोमेन में सभी DC के ग्लोबल कैटलॉग सर्वर हैं।
मैंने नीचे इसकी कल्पना करने की कोशिश की है:
अब, यहाँ समस्या है। जब मैं डोमेन dmzRoot.tldमें एक सुरक्षा समूह में एक संसाधन पर पहुंच प्रदान करता हूं childA, तो यह उन उपयोगकर्ताओं के लिए काम करता है childAजो सुरक्षा समूह के सदस्य हैं, लेकिन childBडोमेन में उपयोगकर्ताओं के लिए नहीं , भले ही वे सुरक्षा समूह के सदस्य हों childA।
मान लीजिए कि मैं dmzRoot.tldउदाहरण के लिए स्थानीय व्यवस्थापक को किसी सदस्य सर्वर तक पहुँच देना चाहता हूँ । मैं childA.ForestRoot.tld\dmzAdministratorsसदस्य सर्वर पर स्थानीय अंतर्निहित व्यवस्थापक समूह में जोड़ता हूं ।
childA.ForestRoot.tld\dmzAdministrators निम्नलिखित सदस्य हैं:
- बच्चे \ dmzAdmin
- childB \ SuperUser
अब, यदि मैं प्रमाणित करता हूं, तो मैं childA\dmzAdminएक स्थानीय प्रशासक के रूप में सदस्य सर्वर पर लॉग इन कर सकता हूं, और यदि मैं इससे प्राप्त आउटपुट पर एक नजर डालता हूं whoami /groups, तो childA.ForestRoot.tld\dmzAdministratorsसमूह स्पष्ट रूप से सूचीबद्ध है।
यदि मैं childB\superUserहालांकि प्रमाणित करता हूं, तो मुझे एक संदेश मिलता है कि खाता दूरस्थ लॉगऑन के लिए अधिकृत नहीं है। अगर मैं जाँच whoami /groupsके लिए childB\superUserखाते, childA.ForestRoot.tld\dmzAdministratorsसमूह सूचीबद्ध नहीं है।
यह लगभग ऐसा प्रतीत होता है कि childAसमूह SID कभी भी पीएसी में शामिल नहीं होता है जब childBउपयोगकर्ताओं को प्रमाणित किया जाता है , भले ही सभी डीसी जीसी हैं।
मैंने dmzRoot.tld में मशीन पर PAC सत्यापन को अक्षम कर दिया है, जिस पर मैंने इसका परीक्षण किया, लेकिन इससे कोई फायदा नहीं हुआ।
किसी भी सुझाव के रूप में मैं कैसे प्रभावी ढंग से इस समस्या निवारण? मैं यह निर्धारित करने के लिए प्रमाणीकरण की राह का पालन कैसे करूं कि वह कहां असफल हो जाता है?