Вопросы Теги

Два домена Windows Server, два пользователя, те же полномочия

Некоторые хорошие ответы здесь уже - но могли бы я просто указать что (предполагающий, что существует в застройщиках дома), относительно небольшой объем работы окажет большое влияние - добавляют первичные ключи (Вам не придется даже изменить все Ваши запросы для использования их), добавьте индексы к полям, которые Вы действительно используете и настраиваете свои запросы немного, и Вы видели абсолютно огромное увеличение. Купите себя некоторая RAM для него теперь для покупки времени и высоты, необходимо зафиксировать его и затем взяться за работу.

На предмет "фиксируют его или угробили его", если функции системы в основном работают на Вас и делают то, в чем Вы нуждаетесь, не переписывайте колесо. Если Ваши пользователи должны сделать гимнастику для использования вещи, потому что она не соответствует потребностям, то никакой смысл прикладывающий усилия к к нему.

1
задан 18 April 2017 в 13:44
4 ответа

Это - функция NTLM, которая автоматически пробует другое ДОМЕННОЕ ИМЯ от того, что Вы ввели.

Каждый вход в систему в Ваших снимках экрана является пользователем ENALOG\Peter, нет NEMOQ_AD\Peter.

Не имеет значения, что Вы вводите домен NEMOQ_AD\Peter, с тех пор NEMOQ_AD не домен это ENALOG тресты. (См. ниже.)

Заметьте, что Вы не видите NAMOQ_AD где угодно, после того как Вы соединились с Voldemort.

Сквозная аутентификация NTLM

NTLM поддерживает что-то названное сквозной аутентификацией. Важный бит статьи здесь: (добавленный акцент)

  • Если указанному доменному имени не доверяет домен, запрос аутентификации обрабатывается на компьютере, подключаемом с тем, как будто указанное доменное имя было тем доменным именем. NetLogon не дифференцируется между несуществующим доменом, недоверяемым доменом и неправильно введенным доменным именем.

Пример для Вашего использования сетевого ресурса

То, что происходит, следующее:

  1. Voldemort получает запрос для аутентификации пользователя NEMOQ_AD\Peter.
  2. Voldemort видит это NEMOQ_AD ни его собственный домен, ни любой домен, которому он доверяет.
  3. Voldemort пытается аутентифицировать пользователя ENALOG\Peter вместо этого.
  4. Так как Вы ввели пароль для ENALOG\Peter (как Вы сказали в другом комментарии), аутентификация успешно выполняется.

Ре. сетевые ресурсы в целом

При доступе к доле диска необходимо использовать NTLM (любая попытка использовать Kerberos перестанет работать потому что ENALOG не доверяет NAMOQ_AD) использование сквозной аутентификации, которая позволяет Вам сети доступа, совместно использует, не вводя пароль. Это работает только при использовании тождественно названных учетных записей с идентичные пароли на этих двух машинах.

Ре. RDP

При вводе пароля при использовании Удаленного рабочего стола он ведет себя точно, как будто Вы попытались войти в систему как ENALOG\Peter вместо NEMOQ_AD\Peter, и с помощью любого пароля Вы ввели. Таким образом, если Вы вводите Peter как Ваше имя пользователя, отправляет локальный компьютер NEMOQ_AD\Peter так как это - единственный домен, он знает о, но удаленный компьютер решает попробовать ENALOG\Peter вместо этого.

Ре. SSMS

Я предполагаю, что Studio управления SQL Server использует одну стратегию или другой (вероятно, второй), я не знаю точные детали его реализации и не имею двух доменов, лежащих вокруг для тестирования ее.

4
ответ дан 3 December 2019 в 18:11
  • 1
    Так... "Я не знаю, кто Вы. Я не доверяю Вам. Я предполагаю, что Вы - этот вместо этого. Теперь я доверяю Вам". Я не испытан в серверах, но мне это - очень странное поведение и угроза безопасности. Во всяком случае по крайней мере, это говорит мне, почему это ведет себя этот путь и если я использую различные пароли, это не должны быть никакие проблемы. Спасибо парни –  Palpie 8 July 2010 в 12:25
  • 2
    является эквивалентом отправки по паролю к удаленной машине (на самом деле не имея необходимость сделать так), поэтому действительно Вы предоставляете Voldemort пароль для ENALOG\Peter, и Вы просто, оказалось, ввели его несколькими минутами ранее, в то время как Вы входили в систему как NEMOQ_AD\Peter. NTLM предполагает, что, если это может доказать, у Вас есть тот же пароль на двух тождественно названных учетных записях, затем нормально, вероятно, идти вперед и не заставлять Вас явно ввести учетные данные снова. Так, это больше похоже, проверяют правописание для Вашего имени пользователя. –  Stephen Jennings 9 July 2010 в 06:28
  • 3
    Это не угроза безопасности, потому что Вы ДЕЙСТВИТЕЛЬНО знаете пароль для удаленного компьютера. Единственное время, которое это было бы "неправильной" вещью сделать, будет то, если учетные записи, ENALOG\Peter и NEMOQ_AD\Peter представили различных людей, у которых просто, оказывается, есть идентичные пароли. Не вероятный главную схему вещей. –  Stephen Jennings 9 July 2010 в 06:30

Это не возможно. Что-то неправильно конфигурируется.

0
ответ дан 3 December 2019 в 18:11
  • 1
    я не реализовал конфигурации кроме добавления администратора и нескольких обычных пользователей в DomainB. –  Palpie 6 July 2010 в 08:41
  • 2
    Где я могу настроить это? –  Palpie 6 July 2010 в 09:08
  • 3
    Доверие существует между NEMOQ_AD и ENALOG? Пароли для NEMOQ_AD\peter и ENALOG\peter идентичный? Есть ли какие-либо предупреждения или ошибки, добавленные приложение, система или журналы событий безопасности на контроллере домена ENALOG во время аутентификации? –  aNullValue 7 July 2010 в 06:17
  • 4
    Никакое доверие не настроено. Никакие предупреждения или ошибки. Я играл еще немного с паролями: Удаленный рабочий стол, кажется, не заботится о домене. Я могу войти в систему с NEMOQ_AD\Peter и паролем ENALOG\Peter. С UNC я не могу перейти к папкам сервера вообще, если пароли отличаются (только работы, если я вхожу в систему как ENALOG\Peter, как это должно быть). То, когда пароли являются идентичным NEMOQ_AD\Peter, ведет себя точно так же, как ENALOG\Peter. –  Palpie 8 July 2010 в 09:59
  • 5
    В этом случае я не вижу проблем здесь; аутентификация работает, как разработано. Если NEMOQ_AD\Peter и ENALOG\Peter не должны иметь доступа к ресурсам друг друга, то любой 1) их пароли должны отличаться, или 2) доверие должен быть создан между доменами. –  aNullValue 8 July 2010 в 20:56

Можно ли быть более конкретными? Что Вы подразумеваете, что получаете те же полномочия? Вы обращаетесь к полномочиям папки и файлу? Что Вы подразумеваете установку учетной записи userB как неактивной? Нет такой вещи как "неактивная". Вы подразумеваете установку учетной записи userB на отключенный?

0
ответ дан 3 December 2019 в 18:11
  • 1
    Да, я имею в виду отключенный (проблема языка :)). Когда я сижу в компьютере в DomainA с DomainA\MyUser, у меня есть, например, полные права в \\ServerB\c$. Я также сделал DomainB\MyUser системным администратором в SQL Server MS, который также относится к DomainA\MyUser. –  Palpie 6 July 2010 в 08:46
  • 2
    DomainA\MyUser может также использовать удаленный рабочий стол для соединения с новым сервером и затем получает те же права на сервере как DomainB\MyUser. –  Palpie 6 July 2010 в 09:01

Stephen Jennings уже ответил на это полностью, но я просто думаю из одного только любопытства, какова причина отдельного домена в этом случае?

Существует много серьезных оснований, но обычно поддерживающий несколько доменов стычка, и она не кажется, что любой сможет управлять ею и вместо этого просто создать типичные издержки, связанные с поддержкой нескольких доменов для группы людей.

Почему бы не включить новый сервер в существующий домен, с помощью конфигурации для ограничения ее ресурсов компанией. Необходимо ли получить доступ к ресурсам в компании-учредителе? Разве администраторам компании-учредителя не доверяют?

0
ответ дан 3 December 2019 в 18:11
  • 1
    нет, им не доверяют. Домены должны быть отдельными. Наличие двух отдельных доменов, я думаю, должно быть легче, чем не разделить их. –  Palpie 8 July 2010 в 12:18

Теги

Похожие вопросы