.png)
Ich bin ein relativ neuer Benutzer von Windows (Server 2008r2), stelle jedoch eine neue Umgebung zusammen und richte Active Directory-Domänen ein.
Ich habe mein System in zwei Teile aufgeteilt: Management (Mgt) und Betrieb (Ops). Sie sind beide Teile desselben Systems, aber ihre Verfügbarkeitsanforderungen sind etwas unterschiedlich.
Ich habe beschlossen, mein System „vmnet“ zu nennen. Ich habe zwei Domänen erstellt: vmnet.ops und vmnet.mgt.
Ich ging davon aus, dass es sich dabei um völlig separate Domänen handeln würde, ähnlich wie bei .com- und .org-Websites.
Beim Konfigurieren einer Dateifreigabe auf vmnet.mgt musste ich leider feststellen, dass ein Benutzer mit demselben Namen auf vmnet.ops KEINE Anmeldeinformationen eingeben musste, um auf die Freigabe zuzugreifen.
Also: 1) Ordner auf einem Mgt-Domänenserver, der freigegeben ist für[email geschützt]über Windows-Freigabe. 2) An einer Ops-Domänen-Workstation angemeldet ([email geschützt]), und versuche, auf den freigegebenen Ordner zuzugreifen. 3) Ich kann mich anmelden, ohne dass ich Anmeldeinformationen eingeben muss. 4) Wenn ich mir die Berechtigungen für den freigegebenen Ordner im Feld vmnet.ops ansehe, steht dort, dass er freigegeben ist mit[email geschützt] 5) Wenn man sich den eigentlichen freigegebenen Ordner auf der vmnet.mgt-Maschine ansieht, wird behauptet, dass er nur mit[email geschützt].
Hier scheint es Überschneidungen zu geben. Unterschiedliche Domänen sollten völlig unterschiedliche UIDs haben? Überhaupt keine Überschneidungen? Oder habe ich einen Fehler gemacht und vmnet.ops und vmnet.mgt sind dieselbe Domäne und .mgt/.ops sind irrelevant?
Antwort1
Wenn es in jeder Domäne einen Jake-Benutzer mit demselben Passwort gibt, kann Jake von einer Domäne aus auf Freigaben in der anderen Domäne zugreifen, da das Passwort dasselbe ist. Das funktioniert folgendermaßen:
Wenn jake@domain1 auf Ressourcen in domain1 zugreift, wird kein Kennwort an das System gesendet, auf dem die Ressource gehostet wird, da jake bei der Anmeldung bei der Domäne ein Sicherheitstoken erhalten hat und das Sicherheitstoken für den Zugriff verwendet wird.
Wenn jake@domain1 auf Ressourcen zugreift, die sich NICHT auf domain1 befinden (d. h. in domain2 oder einem System, das sich nicht in einer Domäne befindet), werden Jakes Benutzername und Passwort an das andere System weitergegeben, und wenn die Anmeldeinformationen mit einem Jake-Benutzer in dieser Domäne oder auf diesem Computer übereinstimmen, erhält Jake Zugriff auf diese Ressourcen.