AD forest one-way trust: can't list users from the other domain
So, we have two forests (AWS and On-Prem). The DCs can talk to each other and the one-way trust works fine.
Here is the problem.
If I create a share on the DC1 (in AWS), I can grant access to the users from the other on-prem domain DC2. But, if I go to an app server APP1 which is a member of DC1, I can't list the users and grant access. The only difference is that DC1 can talk to the other DC on-prem, but APP1 can't talk to the DC2 on-prem.
My question is: does APP1 server require access to the on-prem DCs DC2.
Thank you
Да, если вы используете встроенные инструменты Windows, такие как Проводник или команду NET SHARE.
Если вы знаете идентификатор безопасности (SID) участника безопасности, которому нужно предоставить доступ, вы можете предоставить доступ к SID с помощью SETACL.
Пример предоставления разрешения на изменение общего доступа:
SetACL.exe -on "YourShareName" -ot shr -actn ace -ace "n:S-1-5-21-1004326348-1532298959-727345543-260587;p:change"
Пример предоставления разрешения на изменение папки:
SetACL.exe -on "D:\FolderName" -ot file -actn ace -ace "n:S-1-5-21-1004326348-1532298959-727345543-260587;p:change"
Спасибо, ребята!
Мы не можем использовать локальный контроллер домена только для чтения (не утвержден), и, хотя решение setacl работает, мы создали локальную группу домена на DC1 и добавили пользователей из DC2. Таким образом, нет необходимости открывать порты на APP1.
К вашему сведению, согласно нашей политике, весь трафик, исходящий из локальной сети в AWS, разрешен, а весь трафик, исходящий из AWS в локальную среду, запрещен.
Поскольку я пытался составить список пользователей на APP1 (AWS) с DC2 (локально), мой запрос LDAP был заблокирован. Но создание локальной доменной группы на DC1 (AWS) и добавление пользователей DC2 (on-prem) сработало, поэтому мне просто пришлось добавить эту группу в общую папку на APP1 (AWS).