Неспособный к ssh к GCE: “Разрешение отклонено (открытый ключ)”

ре: "Как мы можем позволить нашему партнеру входить в наш AD, но препятствовать тому, чтобы они получили доступ к каким-либо другим серверам за исключением тех на сайте?"

Я сильно поощрил бы Вас создавать AD лес явно для ресурсов JV. Создайте односторонний непереходный лес, доверяет существующие AD инфраструктуры участников JV. Используя выборочную передачу DNS, поддержите DNS для JV в интегрированной зоне DNS безопасного AD, размещенной серверами JV. Это сохраняет партнера в "почтительном расстоянии" с Ваших собственных серверов. Оба партнера должны явно помещать совместно используемые данные / приложения / серверы в общую область. Используя Ваш существующий AD для "общей области" может сохранить Вас немного денег на лицензировании, но это не стоит добавленного риска и сложности.

ре: "Как мы можем настроить это так, чтобы соответствующие отделы ИТ каждого партнера могли управлять локальными рабочими станциями без каких-либо административных привилегий на нашем AD?" и "В настоящее время, мы работаем из сетевого графика ниже. Используя VLAN мы можем препятствовать тому, чтобы каждый партнер JV пересек ссылку VPN других и все еще предоставить доступ к совместно используемым ресурсам, но эта установка не позволяет каждому партнеру по совместному предприятию управлять их собственными рабочими станциями и пользователями".

Я не уверен, что понимаю. Я вижу то, что Вы говорите ре: изоляция сетевого трафика от членов JV, но я не следую за остальными. Члены JV собираются иметь учетные записи пользователей и учетные записи компьютера в их собственных AD лесах, или в лесу JV? Это неясно мне. Я сделал бы, чтобы члены JV поддержали свои учетные записи пользователей и учетные записи компьютера в их собственных AD лесах, и предоставили доступ к совместно используемым ресурсам JV хотя членство в группах в лесу JV AD.

Ohh! Я думаю, что получаю его. На этом "сайте" будут некоторые клиентские компьютеры, которые совместно используются пользователями от обоих членов JV, сотрудничающих!Я прав?

Вы могли обработать те "общие" компьютеры много различных путей.

Я, вероятно, соединил бы компьютеры с доменом JV AD, но Вы не могли бы. Владение клиентских компьютеров, вероятно, продиктовало бы, как я обработаю это. Если бы клиентские компьютеры остаются с каждым членом JV затем, я думаю, что соединил бы их с доменом AD члена JV владения.

С клиентскими компьютерами, соединенными с учетными записями пользователя домена JV AD от любого домена члена JV (а также самого домена JV AD), мог использоваться для вхождения в систему к клиентским компьютерам (так как там будет существовать доверительные отношения от леса JV AD до AD лесов участников).

Знайте, что было бы полезно иметь контроллеры домена только для чтения от AD леса каждых участников на месте на "общем сайте". Если клиентские компьютеры ared соединенный с лесной компьютерной групповой политикой JV AD прибудут из леса JV AD. Политика группы пользователей прибыла бы из AD лесов участников, тем не менее, настолько имеющий локальный DC будет полезен. Если клиентские компьютеры соединены с AD лесами участников затем, очевидно, имение локального DC от леса каждых участников было бы хорошо.

Делегация управления в лесу JV AD может использоваться, чтобы дать членам JV штат IT любые способности, в которых они нуждаются в самом лесу JV AD. Групповая политика "Ограниченные Группы" могла использоваться, чтобы предоставить членам JV штат IT административные права по "их" клиентским компьютерам, которые соединены с доменом JV AD. (Клиентские компьютеры, которые остаются в AD лесах участников, являются спорным вопросом.)

ре: "Настраивая доверие с 2 путями между партнерами JV и позволяя каждому партнеру управлять их собственными пользователями и машинами. Что плюсы и минусы к этому? Как далеко это доверие расширяется?" и "Создание нового домена и установка 1 пути доверяют от каждого из исходных доменов. Что плюсы и минусы к этому?"

Windows "доверительные отношения" не предоставляет доступ ни к чему по сути. Посмотрите на этот оператор: "Домен домен B трестов".

Теперь, замените слово "тресты" фразой, "разрешен назвать в пользователях полномочий, группах и компьютерах от": "Домену A разрешают назвать в пользователях полномочий, группах и компьютерах от домена B".

"Доверие" не предоставляет доступ, оно разрешает Вам способность предоставить доступ. Если у Вас будет специализированный лес JV AD, то Вы захотите, чтобы он имел внешний непереходный 1 путь, доверяет AD леса участников JV так, чтобы пользователей и группы от леса членов JV можно было назвать в полномочиях или соединить с группами в лесу JV AD. Это позволило бы учетным записям пользователей и учетным записям компьютера за каждого члена JV управляться в собственном AD лесу того участника. При помощи групп, которые расположены в лесу JV AD для управления полномочиями к ресурсам JV, JV могло эффективно управлять разрешением получить доступ к ресурсам JV.

Вы не хотели бы доверия с 2 путями никакому circmstance от моего понимания Вашей ситуации. Я корректен в размышлении, что не взаимно желательно или для члена JV назвать пользователей, группы или для компьютеры от другого участника в полномочиях? Это походит, там не будут совместно используемыми ресурсами, размещенными на серверах, принадлежавших обоим членам JV, таким образом, взаимное доверие не необходимо. Однако снова, доверие с 2 путями только разрешает capbility предоставления доступа и на самом деле не предоставляет доступа.

У меня есть некоторый опыт с подобным проектом несколько лет назад между локальной hosptical ассоциацией и несколькими группами врачей. В их случае они создали специализированный AD лес для JV, но не создали доверительные отношения к существующим инфраструктурам членов JV. Мы закончили с дублирующимися учетными данными и в локальном AD участников JV и в JV AD. Это было самой большой "бородавкой", которую я видел в их сети и чем-то, чего я избегу в будущем.

Я вижу, что Вы находитесь в конструкции. У меня есть Клиент, который действительно связывается с техническим и управлением проектами для крупномасштабных проектов конструкций и часто определял местоположение сотрудников в филиалах (иначе "трейлеры") на сайтах для клиентов в течение многих лет за один раз. У меня должна все же быть ситуация, где Клиент или другой подрядчик на движении проекта к уровню детализации, который Вы ищете, но ситуация я обрисовал в общих чертах выше, будут то, как я преследовал бы его, если бы это действительно происходило. Расход нескольких лицензий Windows Server и компьютеров для хостинга контроллеров домена для JV AD (и локальный DCS участников только для чтения) не очень амортизируется более чем 4 года и создает очень прочную основу, на которую можно провести общие операции.