.png)
Soy bastante nuevo en la administración de Windows (Server 2008r2), pero estoy creando un nuevo entorno y configurando dominios de directorio activo.
He dividido mi sistema en 2 partes, administración (mgt) y operativa (ops). Ambos son partes del mismo sistema, pero sus necesidades de disponibilidad son un poco diferentes.
Decidí llamar a mi sistema "vmnet". Creé 2 dominios, vmnet.ops y vmnet.mgt.
Supuse que serían dominios completamente separados, muy parecidos a los sitios web .com y .org.
Desafortunadamente, mientras configuraba un recurso compartido de archivos en vmnet.mgt, me di cuenta de que un usuario con el mismo nombre en vmnet.ops NO tenía que ingresar credenciales para acceder al recurso compartido.
Entonces: 1) Carpeta en un servidor de dominio mgt compartida con[correo electrónico protegido]a través de compartir Windows. 2) Iniciar sesión en una estación de trabajo del dominio de operaciones ([correo electrónico protegido]) e intente acceder a la carpeta compartida. 3) Me deja entrar sin ingreso de credenciales. 4) Al observar los permisos de la carpeta compartida en el cuadro vmnet.ops, dice que está compartida con[correo electrónico protegido] 5) Al observar la carpeta compartida real de la máquina vmnet.mgt, afirma que está compartida solo con[correo electrónico protegido].
Parece haber una superposición aquí. ¿Diferentes dominios deberían tener un UID completamente diferente? ¿No hay superposición alguna? ¿O me he equivocado y vmnet.ops y vmnet.mgt son el mismo dominio y .mgt/.ops son irrelevantes?
Respuesta1
Si hay un usuario de Jake en cada dominio con la misma contraseña, Jake de un dominio podrá acceder a los recursos compartidos del otro dominio porque la contraseña es la misma. Funciona así:
Si jake@dominio1 accede a recursos en dominio1, no se envía una contraseña al sistema que aloja el recurso porque jake obtuvo un token de seguridad cuando inició sesión en el dominio, y el token de seguridad se utiliza para obtener acceso.
Si jake@dominio1 accede a recursos que NO están en el dominio1 (es decir, en el dominio2 o en un sistema que no está en un dominio), pasará el nombre de usuario y la contraseña de jake al otro sistema, y si las credenciales coinciden con jake usuario en ese dominio o computadora, entonces jake tendrá acceso a esos recursos.